30 septiembre 2009

Curso online de MetaSploit

MetaSploit es una de nuestras herramientas favoritas, anteriormente ya habíamos anunciado por aquí alguna de sus últimas versiones y también contamos como unos 'desaprensivos' hackearon metasploit.com

MetaSploit ha evolucionado increíblemente, y además de tener su espartana pero útil versión por linea de comandos, ha incorporado una GUI que permite a cualquier persona con 20 minutos libres ser mas peligroso que Clint Eastwood en 'Harry el sucio'

No obstante y dado que la herramienta es bastante compleja siempre es interesante tener apoyos en forma de tutorial para dominar totalmente 'la bestia'

Vía 'Seguridad en Ebonia' (thanks Zigor) me entero de un curso online bastante completo que seguramente pueda ser útil tanto para quien conoce la herramienta como para el que le apetezca iniciarse.

El curso disponible aquí es totalmente gratis, y únicamente solicitan que, si has encontrado valioso el curso, hagas una pequeña donación (4$) a una organización sin animo de lucro.

Interesante iniciativa
Leer más...

29 septiembre 2009

El extraño caso de recargamasmovil.net

Siempre se leen muchas noticias sobre fraude online, phishing y demás estafas, pero pocas veces se puede tener a mano algo que 'se pueda tocar' en este caso, el site del que voy a hablar permanece online y por lo tanto puede servir de pedagógico ejemplo sobre como funcionan este tipo de estafas.

Para empezar, una pequeña introducción: Mas Móvil es una de esas nuevas compañías de telefonía que intentan abrirse paso en el apasionante mundo de las operadoras móviles ofreciendo planes de precio a la baja que pugnan por minar la hegemonía de las compañías 'de toda la vida'.

El caso es que por motivos que no vienen al caso, estuve empleando una SIM de esa compañía en modalidad pre-pago y al intentar recargarla mis bancos habituales no daban soporte a esa compañía, así que busque en google 'recarga mas móvil' y el primer enlace patrocinado vía add sense de Google me llevó a la pagina www.recargamasmovil.net

Si se visita la pagina en cuestión, podemos ver que han copiado los logos corporativos de Mas Móvil y ofrecen un servicio de recarga.


Si seguimos un poco mas adelante vemos que, supuestamente, nos llevan a una especie de portal 4B (ojo a la vulgar imitación del CGI de 4B teargral.exe) donde se nos piden una serie de datos típicos (nombre, numero de tarjeta ...) y otros mas extraños como 'clave de internet' WTF ?!?!? y encima, todo esto bajo HTTP que no HTTPS


Pero si seguimos un poco mas y miramos el código fuente de la pagina en cuestión, nos encontramos que los datos introducidos en el formulario, llaman a un CGI en 'emailmeform'


<form method="post" action="http://www.emailmeform.com/fid.php?formid=240354" enctype="multipart/form-data" accept-charset="UTF-8">


¿Que es 'emailmeform'? es un site donde puedes crearte tu propio formulario web e incrustarlo en otra pagina web, cuando alguien lo rellene te envían un bonito correo electrónico con los datos.

Según se puede ver en el Whois del dominio:

Domain Name: RECARGAMASMOVIL.NET
Registrar: 1 & 1 INTERNET AG
Whois Server: whois.schlund.info
Referral URL: http://REGISTRAR.SCHLUND.INFO
Name Server: NS63.1AND1.ES
Name Server: NS64.1AND1.ES
Status: ok
Updated Date: 21-feb-2009
Creation Date: 21-feb-2009
Expiration Date: 21-feb-2010

El fraude debe estar funcionando desde febrero del 2009 y si le preguntamos a nuestro bot por los datos de la IP donde está el servidor:

sbd.bot: Información de 87.106.204.191
Whois <--->

% Note This output has been filtered.
abuse-mailbox abuse@oneandone.net
address 1&1 Internet AG
admin-c JR2342-RIPE
country ES
descr SCHLUND-PA-5
inetnum 87.106.204.0 - 87.106.205.255
mnt-by AS8560-MNT
netname SCHLUND-SHARED
nic-hdl IPOP-RIPE
origin AS8560
remarks INFRA-AW
remarks: in case of abuse or spam, please mailto abuse@1und1.de
role IP Operations
route 87.106.0.0/16
source RIPE # Filtered
status ASSIGNED PA
tech-c JR2342-RIPE

Geo-INFO <--->

Country: Spain
Region:
City:

Da la impresión que el origen de todo esto es Alemán aunque la IP, aparentemente, esté en España.

Cuanto mas circule esta información antes incluirán ese dominio en black lists

Gracias Google, tendré presente a futuro lo fiables que son tus anuncios
Leer más...

28 septiembre 2009

E-Pasaporte (mitos y leyendas)

Una de las cosas que mas profundamente me molesta es leer o escuchar a gente criticar cosas de las que en realidad sabe poco, y cuya única fuente de información son documentos de corte sensacionalista que únicamente contienen titulares al estilo 'El Pasaporte electrónico es inseguro' o 'RFID es una tecnología insegura'

Como ejercicio didáctico propongo que cualquiera que escuche un comentario así, acto seguido pregunte: '¿Cuando hablas de RFID, podrías decirme a que frecuencias te refieres?' y '¿Perdona, me podrías indicar al menos 3 protocolos RFID que conozcas?' Si el interlocutor duda en las respuestas, estamos ante otro caso de 'yo es que leí en nosedonde que ...'

Conste que yo no estoy defendiendo nada, de hecho me he propuesto escribir este post basado en certezas y pruebas sobre MI pasaporte, las conclusiones las dejo para cada cual.

Para realizar este pequeño estudio utilicé un lector RFID de la marca Omnikey Cardman y me valí de las estupendas librerías / herramientas de RFIDIOT, que, por cierto, es una pena que el autor haya elegido tan desafortunado nombre ya que son, en mi opinión, las librerías mas completas, mas fiables y útiles para trabajar con RFID y creo que el nombre puede dar lugar a equívocos.

Voy a obviar en este post los datos mas academicistas sobre las implementaciones ICAO del pasaporte electrónico, ¿por que? básicamente porque pretendo que resulte ameno y creo que el artículo de la Wikipedia es lo suficientemente avanzado para el que quiera meterse en nomenclaturas e ir a la parte low-level.

Punto uno: ¿Que contiene el E-pasaporte?

Mucha gente confunde y mezcla e-pasaporte con DNI Electrónico y son conceptos absolutamente diferentes. El DNI Electrónico está orientado a la identificación 'fuerte' de una persona y proveer de una herramienta que permita asegurar la integridad de unos datos en nombre de la persona que los firma. El Passaporte está orientado a proveer ciertos datos y a asegurar que esos datos son fidedignos. Mas claro: con el DNI puedes identificarte y decir 'yo soy Juan', con el E-Passaporte alguien dice que tu eres Juan.

Otro mito sobre el e-passaporte es su contenido, haciendo uso de la estupenda herramienta que viene con RFIDIOT llamada 'mrpkey' se puede leer el contenido completo del pasaporte, y lo que hay es:
-Tu nombre y apellidos
- DNI
-País de nacimiento
-Fecha de nacimiento
-Certificado de la CA raíz de la Policía Nacional
-Certificado de la CA subordinada de la Policía Nacional
-Una foto
-La firma digital de los datos identificatívos (hecha por la CA subordinada)


Punto Dos: ¿Cualquiera puede leer mi Pasaporte?

NO ! Para acceder al contenido del pasaporte hace falta una clave de acceso, y esa clave de acceso está impresa en el pasaporte en lo que se conoce como 'Machine Readable Zone' [Mrz] que va impresa en la hoja donde aparece tu nombre y tu foto.

Un ejemplo de un pasaporte Belga:

Entonces, lo que se hace para leer el contenido del pasaporte en los puntos de control, es ponerlo frente a un lector OCR que 'lee' ese campo y lo usa como clave para autenticarse frente al chip RFID y extraer los datos. Evidentemente los datos 'en transito' (Lector RFID <--> Pasaporte) van debidamente cifrados y, si bien puntualmente en algunas implementaciones se encontraron fallos, que yo sepa en España no se ha dado el caso.

Así que, de entrada, el mito de que un señor en el metro con un portátil y un lector obtiene tus datos privados ... bye bye

Punto tres: ¿Se puede clonar los datos de un E-Pasaporte?

Si, una vez eres capaz de leer su contenido es perfectamente posible hacer una copia valida empleando una tarjeta RFID de tipo 'Java Card'.

Pero ojo, una cosa es clonar y otra cosa es ALTERAR esos datos y que permanezcan validos. Toda la información que contiene el chip RFID está firmada digitalmente por la PKI de la policía nacional (tecnología estándar, claves RSA, firmas digitales ...) por tanto, si modificas por ejemplo la foto, a la hora de verificar la información, la verificación saldrá negativa, lógico ¿no?

Y ahora alguien salta: 'Pero yo escuché que habían clonado un Pasaporte con la foto de Bin Laden' (y además mientras lo dice, se ríe)

Fue un caso que se promovió de una forma especialmente sensacionalista y el hecho, sucedió ... pero si vamos un poco mas allá del titular, el asunto tiene una explicación lógica. Como decíamos antes, todos los datos del pasaporte van firmados digitalmente por una CA, y como bien sabéis, para realizar una verificación de un dato firmado digitalmente, es necesario disponer del certificado del firmante y de la CA raíz. Por ejemplo, todos sabemos que los navegadores contienen un almacén de certificados que permite realizar las verificaciones SSL.

¿ Y que pasa cuando eres la Unión Europea y tienes que realizar una acción coordinada entre múltiples países ? Que la haces mal, en este caso no se habían distribuido los certificados de las CAs raíces de los distintos países miembros a los puntos de fronteras. ¿Resultado? que únicamente se verificaba que el pasaporte tuviera los datos con el formato correcto, de esa forma podías crearte un pasaporte de 'YJ-Land' y al llegar al punto de control, se verificaba únicamente que el pasaporte tuviera tu nombre, dni, etc etc y que hubiera una firma digital, lo que dio lugar al caso 'pasaporte Bin Laden'.

Lo divertido del asunto es que, creo, a día de hoy ese tema no está resuelto pese a que existe un directorio público en el que 'en teoría' deben estar los certificados de las CAs.

Y ahora que cada cual opine
Leer más...

27 septiembre 2009

LaCon 2009 - Dia 2.

Como estaba previsto el sábado ha sido muy fuerte, la agenda que se ha cerrado es la siguiente:

* Rafael Ahucha (oreans): Diseño de Protecciones
* Rubén Santamarta (ReverseMode/Wintercore): X
for fun and profit.
* Rubén Santamarta (ReverseMode/Wintercore): CSI Torre del Mar
* Raquel Santamarta: Dr StrangeLove
* Gabriel Gonzalez (Wintercore): M-Eth: Man in the middle Ethernet
* Alfredo Pesoli: Reversing Cocoa Apps throught Runtime
* Chema Alonso: Connection String Attacks

La primera sesión Rafael ha resumido con mucho humor cómo funcionan las aplicaciones encargadas de proteger software y como han ido evolucionando a lo largo del tiempo. Desde la rotación de rutinas en el código, protecciones mediante controladores en ring0, hasta la implantación actuales de máquinas virtuales o 'revirtualización': máquinas virtuales dentro de máquinas virtuales. También ha expuesto cuales son los problemas de rendimiento y compatibilidad a los que se enfrentan. La conclusión principal es que es una guerra perdida ante los crackers y que solo sobrevivirán todos aquellos creativos que innoven y sean capaces de reciclar su producto una vez este roto.

Rubén en la segunda charla contó de forma muy divertida y amena cómo funcionan las infraestructuras de telecomunicaciones de un medio de transporte público y como aprovecharse de ella, por la naturaleza de la información, no se puede contar mucho más :-/

La tercera, también de Rubén, se ha centrado en biometría y las huellas dactilares. Citando al propio Rubén "para hacer cosas injustamente penadas", por supuesto, en broma. Entre ellas un ejemplo para duplicar una huella, viendo software de ejemplo... y el "hardware" necesario.

Otra Santamarta, Raquel, nos ha dado un buen repaso sobre el Uranio y las cabezas nucleares, si te estás preguntando que tiene que ver esto con el resto de la temática... tienes que volver a ver la peli de Juegos de Guerra y rezar para que no se descubra un acceso RTB a una lanzadera en Irán. Desde luego una charla muy curiosa e interesante.

Gabriel González ha desarrollado una tarjeta ethernet que permite realizar Man In the Middle directamente en la tarjeta, se compone de los chips DP83816EX, ENC28J60 y AVR32UC3A. El código ha prometido liberarlo en la web de Wintercore. Aquí una fotito del prototipo:


Alfredo no se lo ha pensado mucho y se ha pasado toda su charla haciendo demos y mostrando código de como hookear aplicaciones en tiempo real en OSX, ejemplos y más ejemplos, entre ellos Safari e iPhone.

El colofón por cuenta de Chema, nos ha enseñado una nueva técnica que consiste en inyectar datos concretos de conexión en formularios web, como el mismo no ha adelantado nada en su malignolog, esperaremos a que lo haga con todos los detalles. Excepcional el trabajo del equipo de Informatica64 en este campo.

Leer más...

26 septiembre 2009

LaCon 2009 - Dia 1.

Como muchos ya sabréis este fin de semana se está celebrando en Málaga la LaCon2009, posiblemente el evento de seguridad (o fiesta cervezera) underground Español más importante del año. Está patrocinado por Hispasec y únicamente se puede asistir con invitación privada, algo de la que ya se habló el año pasado.

La agenda no estaba demasiado clara e incluso el propio día antes a que comenzase no estaba cerrada, pero con la calidad de todos los ponentes, el éxito está asegurado y casi es irrelevante.

El viernes se celebró la primera sesión por la tarde, con las siguientes charlas:

16:00 pancake Messing with libR
16:45 Dreg Pwtf! Engine 2009
17:30 Joxean Hackproofing Oracle Financials
18:45 Ero Deofuscación mediante técnicas de optimización
19:30 Tora Algo de AntiForensics para pasar el rato
20:15 Pako Antiemulation tricks

Todas ellas con una excelente calidad técnica, muy pronto se publicarán algunas de sus presentaciones, os mantendremos informados.

Por la noche 'pegkaito frito' como decimos los de Madrid y alguna copa...


Hoy sábado por la tarde... la cosa sigue igual de bien... eso si no nos deja abandonado alguno de los que tomaron mas copas que pegkaito!

El borrador de la agenda es el siguiente, aunque mañana publicaremos como terminó definitivamente:

16:00 oreans Software Protectors: Una visión interna
16:35 Ruben De cómo terminé trabajando para los rusos
17:10 Alfredo OSX Reversing
17:45 Raquel Dr.Strangelove...

18:45 Gabriel Gonzalez M-ETH: Man in the middle Ethernet
19:20 Chema Alonso Connection String Parameter Pollution
19:55 Ruben CSI Torredelmar
Leer más...

25 septiembre 2009

¿Qué pueden hacer los ISPs para luchar contra las Botnets?

En repetidas ocasiones hemos hablado sobre el riesgo potencial que suponen las redes de botnets, cuales son las botnets más buscadas e incluso como sincronizar una botnet desde Twitter.

Los usuarios, cuyas máquinas han sido infectadas, se exponen a grandes riesgos como son: la pérdida de información personal, un posible fraude mediante phishing, la generación de spam, e incluso pueden llegar a ser partícipes de una red de ordenadores zombies utilizados para realizar ataques DDoS.

Desde SANS ISC nos presentan un borrador realizado por IETF con las recomendaciones que debería seguir un ISP para detectar aquellos usuarios que han sido infectados por bots maliciosos y un plan de actuación para mitigar los daños. De esta forma se reduciría de forma considerable la actuación de estas botnets en Internet y de forma particular en las redes del ISP.

Los ISPs deberían realizar las siguientes tareas: detectar los bots, notificarlo a sus usuarios y ayudar en la medida de lo posible a su eliminación.

Detección de bots

El ISP debe identificar aquellos usuarios que han sido infectados por un bot, utilizando los métodos y las herramientas sin que atenten contra la privacidad de los usuarios, además estos métodos deben ser transparentes al usuario, sin bloquear tráfico.

Estos métodos incluirán: el análisis del tráfico de la red para determinadas aplicaciones (tráfico enviado al servidor de correo), datos de otros ISPs y organizaciones (informes con listas de IPs que han enviado spam), de forma que puedan corroborar la información y eliminar falsos positivos al identificar las máquinas afectadas.

Se deberá clasificar el bot para determinar su naturaleza y estimar la gravedad de la amenaza (bot de spam, bot de key-logging, bot de distribución de ficheros, etc.)

Nos proponen varios métodos para la detección de bots en los ISPs:
  1. Dependiendo de la legalidad permitida en cada región los ISPs deberían escanear el rango de IPs para detectar los hosts que no están parcheados y que corren el riesgo de ser infectados. Deben tener en cuenta que determinados métodos de escaneo de puertos pueden ser detectados por un firewall o IDS y enviarle una alerta al usuario.
  2. Deben estar con contacto con otras organizaciones e ISPs para compartir información sobre IPs que pueden albergar bots, DNSs que controlan botnets,etc.
  3. Los ISPs deberán usar herramientas de monitorización para identificar las anomalías de la red que indiquen ataques de botnets o comunicaciones de los bots. Por ejemplo, el ISP debe ser capaz de identificar los hosts analizando el tráfico destinado a una dirección IP relacionada con el control de botnets.
  4. Podrán usar técnicas basadas en DNS para realizar la detección. Por ejemplo, disponiendo de una lista de dominios de malware podríamos clasificar el tipo de bot.
  5. Suscripción a servicios que hacen uso de las capacidades de las honeynet y obtener en tiempo real información de listas de máquinas infectadas.
Notificación a los usuarios

Una vez detectada la infección, se deberá informar al usuario del problema eligiendo el método más apropiado según su gravedad. Ya sea vía e-mail, llamada telefónica, correo ordinario, mensajería IM, SMS, etc. El método o los métodos elegidos deben asegurar la recepción de la notificación por parte del destinatario.

Remediar el problema

Se deberán proporcionar las herramientas y la ayuda necesaria para que los usuarios infectados con bots, puedan limpiar sus equipos por si mismos. Para ello se podría crear una web con contenidos de seguridad que explique de forma clara (enfocado a usuarios no técnicos) por qué el usuario ha sido notificado, indicando los bots que existen y los riesgos a los que estamos expuestos, además de los pasos que deben seguir para remediarlo.

Inicialmente los usuarios deberán hacer un estudio para ver que ordenadores están infectados, ya que pueden disponer de varias máquinas con NAT que compartan una misma IP pública. Añadiendo a esto más complicación si el equipo infectado se tratase de una consola, equipo multimedia o un appliance.

Nos proponen unas recomendaciones mínimas que deben incluirse en la guía para ayudar a los usuarios a eliminar la infección:
  1. Hacer back-up de forma regular y almacenarla en dispositivos externos.
  2. Tener actualizados los parches del SO, el antivirus.
  3. Explicar a los usuarios como configurar de forma automática las actualizaciones del SO, antivirus y navegadores.
  4. Se debe incluir una opción que permita contactar con el servicio técnico si no pudieran solucionarlo por ellos mismos.
  5. Se deben identificar as máquinas que han sido infectadas.
  6. Se debe indicar que acciones deben realizar para remediar el problema.
  7. Se indicará como ponerse en contacto con la ley, si el incidente fuera grave y deseen notificarlo, en estos casos no se deberán eliminar las evidencias y el ordenador pasaría a formar parte de la escena del crimen.
En los últimos días hemos oído hablar sobre los comandos de redes zombies difundidos mediante de Google Groups, incluso desde S21sec tuvieron ocasión de hablar con el vampiro. Las botnets son un grave problema para la privacidad de los usuarios, ¿deberían los IPSs aportar ciertas medidas para intentar limitar el alcance de estas botnets?.
Leer más...

24 septiembre 2009

¿Cómo de bien conoces el SSL?


El protocolo SSL lleva un tiempo siendo protagonista de muchas noticias, de muchos estudios, de muchos informes...para su desgracia.

Lo que en un principio se define como protocolo criptográfico para establecer una mayor seguridad en las comunicaciones que se realizan en Internet, finalmente se convierte en un sistema que aparentemente contiene vulnerabilidades que echan por tierra sus principios. Moxie Marlinspike consiguió, gracias a sus investigaciones y posteriores charlas con demostraciones, que el consejo que siempre dábamos a nuestros conocidos de "si ves un candadito abajo, tranquilo, puedes meterte en tu banco que ya estás seguro" no aplicase tanto en la actualidad.

Con el gran debate generado a partir de estas y otras investigaciones, la credibilidad en este sistema comienza a decrecer, y ahí es donde entra en juego el proyecto al que quería referenciar en este post.

Se trata de SSL Labs, una organización que se centra en el estándar SSL. Ofrece una herramienta online para probar la seguridad de nuestras páginas con https, la cual nos dará una puntuación (en base a este documento), recopilaciones de add-ons para el navegador Firefox relacionados con SSL, así como información y noticias sobre todo lo que esté relacionado con este protocolo.







¿Quién está detrás de este proyecto? Ni más ni menos que Ivan Ristić...¿no os suena? Usas modsecurity en tu servidor web Apache? Pues ahora ya sabes el nombre y primer apellido de la persona que está detrás de este módulo.

En definitiva, introduce aquí tu dominio, y comprueba si tu servidor aprueba o suspende el examen. ¿Cuánto habéis sacado? Si suspendes, te aconsejamos que no esperes hasta Febrero, Junio o Septiembre para aprobar.

[+] SSL Labs
Leer más...

23 septiembre 2009

Yes We Can ! (premios Bitacoras.com 2009)

Por si no estabas al tanto, se están celebrando los premios Bitacoras.com 2009 y en la que hay una categoría denominada 'Software y seguridad' a la que SbD ha sido nominada.

Cierto es que con el poco tiempo que llevamos 'en esto' nos ha emocionado bastante la candidatura y nos sorprende ver que, actualmente, ocupamos el puesto Nº5 de la clasificación que lidera Genbeta.

En principio la votación está abierta para cualquier usuario con cuenta en Bitacoras.com y aunque siempre es embarazoso hacer 'auto-venta' si que nos gustaría hacer una pequeña recapitulación sobre cosas que hemos hecho y que creemos han marcado la diferencia.

En SbD siempre hemos apostado por el I+D y hemos intentado sacar contenidos propios que tuvieran nivel y fueran cosas novedosas, le dimos 'un repasito' a la FNMT, ayudamos a que nuestro querido Tuenti fuese mas seguro e incluso demostramos que Gallir y su ejército de voluntarios lo hacen bastante mejor que sus homonimos Americanos con millones de dolares.

También nos fascina sacar herramientas de producción propia, desde Cloud Antivirus (adelantándonos a Panda), algunas herramientas para Twitter, aplicaciones criptográficas varias, algún que otro Honeypot y de auditoría

Tuvimos la suerte de ser invitados a la Black Hat y tratamos de exprimir a fondo la experiencia.

Y evidentemente, hemos intentado aportar puntos de vista interesantes dando nuestra opinión sobre diferentes temas de actualidad sin olvidar historias del pasado

Otra cosa que nos apasiona es probar a fondo herramientas y compartirlas con vosotros

Si después de leer nuestro alegato te animas a votarnos, nosotros prometemos intentar seguir así y tratar de mejorar día a día (Rambo Dixit)
Leer más...

22 septiembre 2009

Hackeos memorables: La base de datos de Gran Hermano I

¿Quien me pone la pierna encima para que no levante cabeza? ¿¡¡ QUIEN !!?

Supongo que esta mítica frase de la subcultura Española le sonará a casi todo el mundo. Fue pronunciada por el inefable 'Jorge Berrocal' en Gran Hermano I.

Aunque bien es cierto que el programa, su concepto y el germen que supuso en cuanto a telebasura son muy censurables, aquella versión 1.0 nos terminó enganchando a todos.

El motivo de que hablemos de Gran Hermano hay que encontrarlo en los hechos que sucedieron el verano del 2000 cuando súbitamente se filtró a Internet la base de datos de la gente que había participado en el casting de Gran Hermano I, conteniendo todo tipo de detalles como dirección, teléfono, profesión, estado sentimental y valoraciones psicológicas hechas por el equipo de psicólogos de Gran Hermano

Por lo visto un grupo de piratas que se autodenominaban 'The evil hackers from the hell' hackearon los servidores de Zeppelin (de aquellas, NT 4.0 sin firewall) y se llevó la base de datos. Posteriormente, hackearon dos servidores NT más en Alemania y Portugal para colgar online la base de datos.

Recuerdo perfectamente el revuelo que se montó con todo aquello, y admito que, movido por la curiosidad, yo también me bajé ese fichero Access.

Los detalles exactos de como se hizo el hackeo no fueron explicados, pero según Hispasec, que en su día dieron una perfecta cobertura, el servidor empleado por Zeppelin estaba hecho un desastre.

¿Como terminó esta historia? En el 2007 la Agencia de protección de datos multó a Zepeling con la nada despreciable cifra de 1,08 millones de Euros.
Leer más...

21 septiembre 2009

SANS: Informe tendencias Top Riesgos de Seguridad


El instituto SANS ha publicado un informe periódico de riesgos de seguridad. Para ello se ha basado en los datos de los ataques recibidos por 6000 organizaciones protegidas con los IPSs TippingPoint, 9.000.000 de sistemas escaneados por Qualys, y otra información del Internet Storm Center. Dicha información pertenece al periodo entre Marzo y Agosto de 2009.


El resumen dice que hay 2 prioridades:
  • La de los sistemas cliente que no tienen software que no está correctamente parcheado (Adobe Acrobat Reader, Flash, Microsoft Office, Quicktime, etc...) La gente descarga documentos desde sitios que consideran fiables, y debido a vulnerabilidades en el software cliente, se ejecuta código malicioso desde ficheros que antiguamente sería impensable (recuerdo cuando sólo se podía en los .EXE, .COM, .BAT o .PIF). Una vez se compromete una estación de trabajo en una red interna de una organización, se distribuye a través de alguna otra vulnerabilidad dicho código malicioso, comprometiendo redes completas de estaciones de trabajo e incluso de servidores.
  • Servidores web expuestos a Internet que son vulnerables. En el periodo analizado, un 60% de los ataques totales que se han analizado, han ido destinados a aplicaciones web vulnerables (un 80% de éstas han sido Inyecciones SQL, XSS y PHP File includes). De esta manera, se comprometen servidores web que pueden considerarse como confiables en herramientas de infectar sistemas cliente no parcheados (los del punto anterior). Dentro de este tipo de vulnerabilidades prevalecen las inyecciones SQL basadas en Select, las evasiones de inyección SQL basadas en funciones String y las que utilizan identidad booleana. Asimismo, de estas estadísticas se extrae que gran cantidad de ataques han sido la identificación del método Connect de HTTP. Los orígenes de estos ataques a servidores web, ha sido mayoritariamente Estados Unidos. En menor medida, Tailandia, Taiwan y China. Lo mismo sucede para ataques XSS.
  • Las publicaciones de parches para aplicaciones tardan aún más que las publicaciones para sistemas operativos. Los fabricantes de sistemas operativos están más concienciados de la importancia de la seguridad en los mismos e imagino que por eso que tardan menos en parchear sus debilidades. Asimismo el "parque" de instalaciones de un sistema operativo es enorme comparado con el número de instancias de aplicaciones que hay.
Otras conclusiones interesantes:
  • Se han descubierto menos vulnerabilidades de sistema operativo que sean explotables desde Internet. Aparte del famoso gusano Conficker, no ha habido ningún otro gran foco de infección.
  • Aumenta el número de vulnerabilidades zero-day. En los últimos tres años, la cantidad de vulnerabilidades publicadas no parcheadas se han incrementado. Hay vulnerabilidades reportadas con hasta dos años de antiguedad a los fabricantes a las que no se les publica ningún parche que las arregle.
  • Aparte de ataques a aplicaciones web, siguen siendo un alto porcentaje los de fuerza bruta a servidores FTP y SSH.
  • Los ataques dirigidos a sistema operativo Microsoft, un 90% han sido los referentes a la ejecución remota de código posible gracias al buffer overflow descrito en MS08-067
  • Para Apple, la aplicación más atacada es Quicktime. La versión Windows de este software también es vulnerable, así que también tiene que ser parcheada
El informe es mucho más extenso, sobre cómo comprometiendo una estación de trabajo de una organización se puede llevar a cabo un total compromiso de la red completa, comenzando por exponer en un servidor público y confiable (como puede ser una red social por ejemplo o utilizando ingeniería social), contenidos maliciosos que generen un agujero de entrada (por ejemplo, mediante una shell inversa, o fórmulas mas creativas) en la organización objetivo.
Leer más...

20 septiembre 2009

Toolkit forense MIR-ROR

A la hora de diagnosticar un problema de seguridad en un equipo Windows, surge la necesidad de obtener la mayor cantidad posible de datos. Normalmente todos tenemos claro el tipo de datos que nos pueden resultar valiosos para hacer un diagnóstico, el problema es tener todos los procedimientos debidamente documentados para obtener esos datos.

Uno de los 'Toolkits' que mas buenas sensaciones me ha transmitido es MI-ROR.

MI-ROR está basado en las fabulosas herramientas de Sysinternals y permite obtener una radiografía muy muy completa de un sistema Windows en ejecución (no es, por tanto, un toolkit al estilo Sleuth Kit)

Algunos aspectos que permite 'radiografiar' MIR-ROR son:
  • Puertos TCP/UDP en uso
  • Software instalado
  • Servicios en ejecución,
  • Cuentas administrativas
  • Procesos en ejecución
Otro de los puntos positivos es que todo el toolkit es portable, con lo que se puede tener en un pen USB o generar un .zip enviable por correo electrónico para hacer un diagnostico remoto.

Muy recomendable leer el artículo publicado por el autor del toolkit aquí
Leer más...

19 septiembre 2009

Concurso de seguridad SAPHEADS Hackjam, ¡rápido!


Esta mañana sobre las 10AM nos ha llegado un correo a nuestra dirección de contacto en la que se nos anunciaba que acababa de comenzar un concurso de seguridad que durará todo este fin de semana. Su nombre, SAPHEADS HACKJAM. Y está organizado por nada más y nada menos que el team SAPHEADS, grupo (en el que hay presencia española entre sus filas) que estuvo con los Pandas en el CTF de la Defcon de este año.


Los SAPHEADS antes de dar caña en la pasada Defcon 17

Comenzó a las 7h, y se compone de 10 retos relacionados con análisis de binarios, ingeniería inversa, técnicas de explotación, forense y seguridad web. Los mismos organizadores comentan que no es como otros concursos de seguridad en los que tienes que enfrentarte a puzzles sin sentidos y propios de ídea feliz. Aquí os enfrentareis a escenarios que bien pudieran darse en un escenario real.

Os podreis registrar aquí, y si no teníais nada pensado para este fin de semana que acaba de empezar (venga, no digáis que hemos avisado tan tarde que seguro que todavía no os habéis levantado), con este conjunto de retos podréis estar entretenidos unas horas, compitiendo con, de momento, más de 200 equipos registrados de todo el mundo.

El ganador se podrá llevar una Wii, y también serán premiados los siguientes 9 clasificados, pero realmente el premio en este caso no es lo más importante...

[+] http://hackjam.sapheads.org
Leer más...

18 septiembre 2009

Dos nuevas herramientas en el SDL de Microsoft

Microsoft dentro de su programa SDL (Software Development Lifecycle) ha liberado dos nuevas herramientas gratuitas para analizar la seguridad de aplicaciones en caja negra. Ambas enfocadas para su uso por parte de desarrolladores y no de expertos en seguridad.

  • MiniFuzz File Fuzzer: esta herramienta permite malformar cualquier archivo de forma sencilla, independientemente de su contenido, mediante el uso de plantillas y observar posibles errores de la aplicación que los procesa. Cada vez que MiniFuzz detecte una anomalía, almacenará el archivo corrupto que la ha generado para su posterior análisis.



Leer más...
Cuando uno cree que tiene su 'top' de ideas ingeniosas sobre métodos orientados al fraude online, lee que se ha detectado una pagina de phishing bancario a la que han incorporado un sofisticado sistema de 'chat online' para dar mas credibilidad al timo.

Si, ha sido en una pagina que pretendía atraer incautos usuarios de un banco Americano y en la que por lo visto, una vez se accedía, aparecía un amable operador en forma de popup para 'guiar' al pobre usuario. Evidentemente el objetivo final era obtener sus datos personales y credenciales bancarias.

Según se puede leer en los detalles de la rocambolesca historia, los timadores hacían uso de XMPP/Jabber (protocolo opensource de mensajería instantánea empleado entre otros por Gtalk) para crear el sistema de chat y 'atender' al usuario.

Como se puede apreciar en las capturas de pantalla que han facilitado los descubridores del timo (RSA) el timo estaba perfectamente orquestado para resultar creíble


Sin duda, otro ejemplo mas del I+D+I orientado a la estafa
Leer más...

17 septiembre 2009

Jubilando el UTM: llega el turno de XTM

El entorno de la informática es uno de los ejemplos de que vivimos rodeados de siglas y abreviaturas por todas partes. Las órdenes por línea de comandos a un sistema operativo (ls, mv, mkdir...), protocolos (HTTP, FTP, SMTP, POP3, DNS, IMAP...), sistemas de transmisión de datos (TCP, UDP, IP, GPRS, UMTS,...) y así podría enumerar un sinfin de elementos que preferimos acortar, muchas veces por facilidad para recordar y muchas veces por el márketing con el que nos lo enseñan.

En el mundo de la seguridad, pasa tres cuartas partes de lo mismo: VPN, SSL, DLP, IPS, IDS, LOPD, WAF, AAA, PCI-DSS,... UTM. Muchas de ellas son evoluciones unas de otras, como es el caso de IDS a IPS a UTM... y por lo visto, ahora también a XTM (eXtensible Threat Management).

Si por UTM ya relacionábamos a aquel dispositivo que es capaz de aunar diversos servicios de seguridad en una misma caja (Firewall, VPN, IPS, Antivirus, Antispam, proxies,....) ahora le toca el turno al XTM. Este término, que ha sido acuñado muy estratégicamente por la gente de Watchguard, sirve para dar a entender cuál debe ser la evolución (al menos según perspectiva del fabricante americano) de la "obsoleta" tecnología UTM.

Las prestaciones de las máquinas utilizadas son cada vez mayores (la Ley de Moore no engaña y eso que no contaba con los procesadores dedicados como ASIC), así como las necesidades de demanda de las organizaciones, ante determinado tipo de servicios y por supuesto la evolución de los mismos.

¿Qué aporta como nuevo XTM ante UTM?

Reconozco que concluir las diferencias me ha llevado más tiempo cabría esperar. La razón fundamental es que enfoqué el tema inicialmente como que XTM sería simplemente un término "marketiniano" más, con el que los pensadores de Watchguard habrían querido revolucionar el saturado mercado del "firewall++".

Según ellos, las mejoras ante el UTM son: "mayor seguridad, mayores capacidades de conectividad y gestión mucho más flexible". Se refieren fundamentalmente a los requerimientos para proteger los nuevos tipos de aplicaciones 2.0, modelos de trabajo SaaS y cloud computing. Asimismo también hacen hincapié en que debido a la necesidad de las organizaciones de reducir costes, es importante el hacer soluciones que se puedan gestionar de la forma más eficiente posible, es decir, por personal poco cualificado, o que sea capaz de hacer más cosas en menos tiempo.

Mi opinión personal es que, evidentemente el concepto de UTM ya es algo manido, sonado, bien conocido por todos. Aprovechando el tirón de la web 2.0, los nuevos modelos de negocio, la necesidad acuciante de, cada vez, mayor conectividad con el exterior, para determinados servicios, toca reinventarse. En este caso ha sido Watchguard quienes han comenzado la cruzada de defender este nuevo concepto de "caja protectora para todo" apostando todas sus fichas en el concepto de su propio márketing: XTM.
Leer más...

16 septiembre 2009

Guía de seguridad para Gmail

Gmail tal vez sea el gestor de correo online mas popular en cuanto a usuarios y, obviando el debate sobre si tener nuestra correspondencia alojada en servidores que no controlamos es o no una buena praxis, vamos a explicar unos cuantos consejos para fortificar nuestra cuenta Gmail.

Nos dirigimos a 'Configuración' --> 'General' y ahí debemos seleccionar la opción 'Preguntar antes de mostrar contenido externo' de forma que nos aseguramos que tendremos pleno control sobre imágenes y links que puedan llegarnos vía correo. (click para ampliar las imágenes)

El siguiente paso lo encontramos en 'Imágenes de los contactos' y debemos seleccionar 'Mostrar únicamente las imágenes que yo haya elegido para mis contactos' tal vez sea una medida un tanto paranoica, pero se han dado casos de exploits cuyo vector era el procesamiento de imágenes


Por último, punto de crucial importancia, activar las sesiones HTTPS


Seguimos por 'Reenvío y correo POP/IMAP' ahí, salvo que vayamos a usar externamente Gmail, deshabilitamos el re-envío, POP e IMAP.


Continuamos en las opciones de 'Chat'. Aquí es recomendable deshabilitar el archivado de conversaciones mantenidas en Gtalk. Bien es cierto que es igual de problemático dejar los correos en Gmail, pero si podemos limitar la exposición, mejor.

Otro punto que debemos marcar es 'Permitir sólo a las personas que he aceptado de forma explícita que chateen conmigo y que vean cuando estoy conectado' Por defecto, Gmail asume que tu deseas tener a alguien en tu lista de contactos del chat si has intercambiado algunos correos con esa persona, y ambos tenéis Gmail. A mi me ha pasado, súbitamente aparecen contactos nuevos a los que incluso me resulta violento 'entrarles' vía chat.

Siguiendo en las opciones de 'Configuración' de Gmail nos detenemos en Labs y activamos una extensión bastante útil para identificar correos autenticados de proveedores como Ebay o PayPal


La última parte de la configuración está en la parte de gestión de cuentas Google. Para localizar esta parte, nos situamos en 'Configuración' --> 'Cuentas e importación' --> 'Configurar la cuenta de Google' --> 'Configuración de tu cuenta de Google' Una vez ahí, vamos a 'Cambiar opciones de recuperación de contraseña'. Por todos es bien sabido que la famosa 'pregunta secreta' es el punto de entrada mas usado a la hora de comprometer cuentas en Webmails (véase asunto Palin o Twitter) Dado que Google ofrece opciones mas interesantes, mi consejo es que el campo de la pregunta secreta sea rellenado con caracteres aleatorios (cuanto mas mejor) e inutilizarla. Por contra, activamos la recuperación mediante segunda cuenta de correo, y también una opción francamente valiosa: recuperación por mensaje de texto (debemos proporcionar un número de móvil -evidentemente-)



Por último, me gustaría destacar algo de Gmail que me parece extremadamente útil. Por la parte de abajo, se encuentra una opción donde poder ver y contrastar las IPs y orígenes (navegador, barra google ...) que han abierto sesión en tu cuenta Google. Es muy saludable verificar con cierta frecuencia que solo IPs que has usado tu han abierto sesión en tu cuenta. (Si tienes dudas sobre una IP, puedes preguntarle a nuestro bot :)


Espero que la guia haya sido amena y útil, y aprovecho también para recomendar los posts sobre protección de dominios, Youtube y nuestro 'hardenizador' para Firefox: FFhardener
Leer más...

15 septiembre 2009

III Encuentro Nacional de la Industria de la Seguridad en España

Los próximos días 27,28 y 29 de Octubre se celebrará en León la tercera edición del ENISE, el Encuentro Nacional de la Industria de la Seguridad en España organizado por la sociedad INTECO, vinculada al Ministerio de Industria Turismo y Comercio.

El evento, que tendrá lugar en el Parador Hostal San Marcos, se compone tanto de sesiones plenarias (introducción a los temas del día) como de talleres (contenido con un enfoque más técnico que el ofrecido en la presentación).


La agenda general para los tres días es la siguiente:
El precio depende de los días que se pretenda asistir, en los que se incluye la asistencia tanto a las sesiones como a los talleres, así como toda la documentación de la jornada.

Después del éxito de sus dos anteriores ediciones, el ENISE se convierte en una de las citas para profesionales del sector a marcar con un gran circulo rojo en el calendario.

Leer más...

14 septiembre 2009

5 lecciones sobre Cloud Security by Microsoft

Cuando se habla de Cloud Computing se suelen generar vivos debates sobre si el paradigma es o no revolucionario, si realmente aporta tanto como dice o si se trata de una moda pasajera (muy recomendable, para todos los interesados en Cloud Computing seguir Nubeblog). Independientemente de estas disquisiciones, uno de los aspectos que generalmente se obvian es la seguridad asociada a este tipo de servicios.

Hace poco cayó en mis manos un artículo en la que se hablaba sobre el punto de vista de la seguridad que ha aplicado Microsoft a sus servicios Cloud llamados Azure, tal vez el hecho de haber sido un jugador tardío le ha permitido diseñar con mas tino aspectos relacionados con la seguridad.

Haciendo un resumen libre sobre el artículo, en el se destacan los cinco planteamientos en los que Microsoft ha diseñado la seguridad de sus productos:
  • Entender los riesgos asociados al Cloud Computing y explicarlos sin tapujos: En vez de optar por una estrategia de venta tipo 'mercado de coche usado' haciendo hincapié en las bondades del producto, Microsoft se ha tomado en serio el hecho de que un escenario cloud tiene sus implicaciones de seguridad y que el cliente debe ser consciente de ello
  • Cumplir estándares: Aunque suene un poco extraño leer eso de Microsoft, parece que en la compañía entienden que los estándares y las métricas de seguridad están diseñadas y escritas por un motivo y cumplirlas, es beneficioso para todos
  • Estandarización de plataformas: Aquí Microsoft afronta sin tapujos uno de los problemas del Cloud Computing, la ausencia de interoperabilidad de plataformas, trabajar con Amazon o Google probablemente te convierta en el temido 'cliente cautivo' debido a que no existe interoperabilidad mutua.
  • Privacidad y Seguridad al mismo nivel: Cuando se habla de seguridad muchas estrategias se centran en la fortificación y la implementación de controles de acceso, pero se obvia un aspecto bastante critico: la privacidad. Parece que Microsoft se ha tomado en serio ambas cosas
  • Modelos de seguridad diferentes para escenarios diferentes: Es lógico que un servicio de correo electrónico tenga un modelo de seguridad parametrizado para su función y otro de tipo Office Online tenga otras consideraciones. Múltiples políticas para múltiples servicios.
Parece que Microsoft sigue sumando security-points
Leer más...

13 septiembre 2009

SOURCE Barcelona, ¡corre!

Estamos de enhorabuena, una de las conferencias más importantes de seguridad, SOURCE, celebrada siempre en Boston, el día 22 de este mes tendrá su primera edición en Barcelona.

La agenda presenta altísima calidad técnica, está dividida en dos tracks con ponentes de conocido prestigio internacional.

El precio para poder asistir es de 600€ si no somos estudiantes, pero de tan solo 75€ si nos acreditamos como tal. Además, desde la organización nos han facilitado el código de inscripción "ECSOURCE", que añade un descuento de un 25%.

Es una magnífica oportunidad para conocer algunos de los pesos pesados del sector. Si tienes posibilidad de ir como estudiante, sería casi un delito no asistir.
Leer más...

12 septiembre 2009

¿Cuanto valen tus datos?

Mucho hemos hablado por aquí sobre robo de datos, troyanos y en general, del submundo underground que rodea a todo eso.

Pero ... ¿Cuanto pueden valer tus datos en caso de ser robados y vendidos en el mercado negro?, supongo que en mayor o menor medida, cuando leemos sobre tráfico de datos, todos nos habremos hecho en alguna ocasión la pregunta, y en general, movidos por la intrínseca vanidad del ser humano, habremos pensado en una cantidad mas bien alta.

Bien pues en mi caso, y según una curiosa aplicación de Symantec, mis datos en el mercado negro se cotizan por valor de 11,29 dolares

Evidentemente la métrica empleada por Symantec da pie a un intenso debate sobre su fiabilidad, pero aun así, resulta muy interesante al menos poder contrastar entre lo que tu crees y lo que probablemente sea.

La URL de la aplicación escrita en Flash, es esta (a mi me ha dado algún problema en Firefox + Linux)
Leer más...

11 septiembre 2009

Gripe A y el teletrabajo

Después de todo el pánico que se ha desatado con la última de las pandemias que conocemos, la de la gripe A o H1N1 (después de que la famosa gripe del pollo sólo quedara en un susto) se acerca el invierno en Europa.

En Centro y Sudamérica, la famosa gripe se ha llevado por delante varias vidas y además ha generado un montón de bajas o licencias médicas, enviando a los enfermos a sus casas a recuperarse. El problema no está en aquellos que se pegan 3 días de fiebre en casa y que evidentemente no pueden trabajar, sino cuando para prevenir ante más contagios se efectúa un cierre total de los centros de trabajo. Esto se hace partiendo de la evidente base de que la vida humana es lo prioritario.

Tanto en los cierres parciales como totales de las oficinas, son en los que Pedro Sánchez del conocido blog Conexión Inversa, generó un procedimiento ante pandemias bastante interesante. En él viene a decir que dependiendo de la fase en la que se encuentre la pandemia en una determinada organización, se seleccionan a grupos de empleados que se van enviando a casa para evitar ser contagiados; y en fases muy avanzadas, sólo se hace necesario personar a un empleado por cada servicio crítico, hasta que la enfermedad se da por terminada y todo vuelve a la normalidad.

Me gustaría añadir un par de cosas al procedimiento descrito por Pedro, y es que si una persona que ya ha superado la enfermedad, puede tener todas las papeletas para ser la elegida a volver a la vida normal, puesto que quedará inmunizada (al menos mientras solo haya una única cepa) ante la misma.

Por otro lado, y dado la repercusión mediática y aprovechamiento por parte de algunos que va teniendo la famosa Gripe, y como siempre en seguridad, la previsión juega un papel crucial, ya hay empresas que están planificando las consecuencias en cuanto a la seguridad y la funcionalidad de sus aplicaciones en remoto que tendrá el permitir de forma libre, el acceso desde ADSLs comunes contra una organización. La cantidad de servicios que celosamente se protegían mediante costosos equipos, y sólo para acceso interno, los esfuerzos invertidos en DLP, para evitar que en los PCs se puedan pinchar USBs o robar información mediante mensajería instantánea, FTP, adjuntos a correos externos, etc,... todo esto queda fuera de juego ante emergencias de estos tipos. No es de extrañar que aprovechándose de ver en medios de comunicación (o incluso el boca a boca) de empresas que han mandado a todo el mundo a su casa para prevenir, se incrementen los ataques. Ya hablamos de elegir el mejor momento para un ataque tiempo atrás.

¿Cómo evitar este tipo de problemas de seguridad? Prevención. Los vendedores de VPNs (IPSEC y SSL), de centralización y correlación de logs, de herramientas de protección de aplicaciones web, IPS e IDS, etc,... van a tener trabajo extra para comenzar a proteger y monitorizar las aplicaciones que actualmente se custodian para dentro, y habrá que abrir hacia la red de redes de la forma más controlada posible.

No obstante, si la prometida vacuna para esta gripe funciona y es suministrada a un alto porcentaje de la población, toda esta planificación quedará únicamente como resultado de un buen ejercicio de prevención ante contingencias.
Leer más...

10 septiembre 2009

¿Qué personaje de Lost eres?

Bajo esta inocente pregunta se esconde un quiz de Facebook que permite a los desarrolladores de estas aplicaciones acceder a la información de nuestro perfil, esté o no en modo privado.

Tus fotos, grupos en los que estés, tendencias políticas, religión u orientación sexual, estarán a disposición de estos desarrolladores. Y no sólo las tuyas sino también la información de tus amigos.

American Civil Liberties Union (ACLU) está realizando una campaña para la que han desarrollado un quiz en donde puedes ver todo lo que se puede extraer de tu perfil. Al realizar el test vemos como extrae nuestra información personal: nuestras fotos, grupos, etc...
Y además la información de nuestros amigos que tenemos agregados.
Esto es verdaderamente alarmante, ¿qué serán capaces de hacer con toda esta información?, nuestro tesoro oculto. <Mode-albal-en-la-cabeza> ¿Venderla para estudios estadísticos? ¿al gobierno? </Mode-albal-en-la-cabeza>

La red social consciente de esto ha desactivado cientos de estas aplicaciones que no cumplían con la política de Facebook, pero esto no es suficiente. Las opciones de privacidad no hacen nada para prevenir que las aplicaciones de los desarrolladores accedan a tu información. Dicen que están trabajando en implementar nuevos controles de los datos del usuario. Esperemos que esto se haga efectivo pronto y de forma que protejan nuestro derecho de privacidad.

Si accedemos a la Configuración de Privacidad a partir de la pestaña Opciones, leemos que nos informan de ello:
  1. A menos que tú o tus amigos hayáis dado vuestra autorización a una aplicación al visitarla, Facebook sólo le permitirá acceder a la información disponible en las búsquedas públicas (tu nombre, redes, foto de perfil y lista de amigos).
  2. Cuando des tu autorización a una aplicación, ésta podrá acceder a cualquier dato relacionado con tu cuenta que le sea preciso para funcionar.
  3. Cuando un amigo tuyo visita una aplicación o la autoriza, la información a la que la aplicación puede acceder incluye la lista de amigos de tu amigo e información acerca de las personas de esa lista.
  4. Si interactúas con una aplicación que ha sido restringida a usuarios de cierta edad y/o país sin autorizarla explícitamente, la aplicación puede ser capaz de inferir tu fecha de nacimiento o ubicación aproximada porque has podido acceder a ella.
Y yo me pregunto: ¿para qué necesitan acceder a mis fotos o grupos en los que estoy inscrita cuando realizo un test para saber a qué personaje de The Big Bang Theory me parezco? personalmente me suena análogo a dar privilegios de root al comando 'date' para ver la fecha en un sistema Unix.

Desde FB indican que los usuarios pueden limitar la información de las aplicaciones, pero esto no es suficiente.


ACLs granulares en FB ya!

Como dice Obama: "Tengan cuidado con lo que suban a Internet, porque permanecerá allí el resto de sus vidas".

Esta info nos llegó vía Antonio Ortiz.
Leer más...

09 septiembre 2009

¿Y ahora qué?

Tras nuestra entrada sobre las certificaciones de seguridad, nos han llegado múltiples consultas de estudiantes que están terminando la carrera o un módulo y no tienen demasiado claro como continuar su formación y mejorar su currículum y conocimientos en seguridad para obtener un perfil más especializado. En esta entrada os daré mi consejo personal por si os puede ser de interés.

1.- QUIENES SOMOS

Lo primero y más obvio es recordar que nuestro nombre y correo electrónico es una marca. Hoy en día es bastante común Googlear y tratar de averiguar un poco más allá del propio currículum del candidato. Mensajes en foros, listas de correo, redes sociales, fotos, todo lo que este publicado en Internet se ha de tener presente, eliminando aquello que pudiera perjudicar la imagen. Además, es recomendable participar activamente en aquellos sitios técnicos de nuestro interés. Tener un pequeño blog puede ayudar o perjudicar al candidato, así que además de tus colegas del barrio, piensa que alguien más puede leerlo.

Este punto es tan importante que en ocasiones las consultoras se acercan a las universidades en busca de una persona en concreto como haría el mismísimo Florentino Pérez.

2.- DONDE QUEREMOS IR Y TAL

Lo primero que se debe tener más o menos claro es que se está solicitando hoy en día en el mercado laboral y donde podríamos encajar mejor en base a nuestros gustos, así como en que campo se desea desarrollar nuestra carrera profesional, ¡aunque seguramente sufra múltiples cambios! Una lista de los distintos perfiles de seguridad que se buscan por todo tipo de compañías podría ser algo similar a esto:

  • Operación: encargado de la monitorización de elementos de seguridad como cortafuegos, detectores de intrusos, consolas antivirus, etcétera. Un buen sitio por el que comenzar que puede dar mucha visibilidad de arquitectura y su infraestructura.
  • Hacking ético: especialistas en explotación y análisis de vulnerabilidades, amplios conocimientos en sistemas, redes, aplicaciones, etcétera. También es normal encontrarse gente que está más cómoda en algunas plataformas, por ejemplo sistemas Microsoft, Unix, en redes, Web...
  • Análisis Forense: en muchas ocasiones es el mismo perfil que el anterior, ya que se requieren conocimientos similares más un componente adicional de esta materia.
  • I+D: Lo que todo el mundo quiere hacer pero pocos saben cómo, llevar a cabo nuevas ideas, realizar estudios, plantear nuevos proyectos...
  • Ingeniería inversa: desde el desarrollo de protecciones hasta el análisis de malware, perfil para los amantes del código en todos sus niveles.
  • Arquitectura de red / Integración: especialistas en electrónica de red, integrando sistemas de seguridad como IDS/IPS, firewalls, proxys, etcétera o también haciendo consultoría sobre las necesidades que puede tener determinada arquitectura.
  • Auditor LOPD / LSSI: perfiles tanto de abogados como informáticos con conocimientos de la Ley Orgánica de Protección de Datos, Ley de Servicios de la Sociedad de la información, etcétera.
  • Continuidad de Negocio: llevando a cabo este tipo de proyectos y planes de continuidad, no requiere altos conocimientos técnicos, pero si el conocimiento de algunos estándares de seguridad como BS25999 o BS25777
  • Auditor ISO27001, COBIT, Normativas: personas generalmente con un perfil menos técnico con conocimientos de normas y estándares de seguridad para la ejecución de proyectos de análisis de riesgos, planes directores, sgsi, etcétera.
  • Formación: no a todo el mundo le gusta ni tiene esta habilidad, no solo hay que conocer muy bien la materia si no saber cómo contarla.


Los puestos a desempeñar no tienen por qué ser exclusivos. Por poner algunos ejemplos, un formador es generalmente alguien que hace otro tipo de tareas relacionadas, un auditor de LOPD podría hacer una análisis de riesgos, alguien que haga hacking podría ejecutar cosas relacionadas con la ingeniería inversa... y así las combinaciones que se os ocurran.

A todos ellos se podría acceder sin experiencia previa como Junior e ir adquiriendo y profundizando en que más os guste. Si estas pensando que por haber terminado la carrera has terminado tu formación, seguramente te veas bastante limitado en tus conocimientos y posibilidades.



3.- DONDE APRENDER



Uno de los principales recursos para conocer el panorama de la seguridad e identificar si nos termina de gustar, son las conferencias que se celebran durante todo el año por todo el país. Estas conferencias organizadas por distintos organismos e instituciones en su gran mayoría son sin coste y además en todas ellas siempre se aprende algo.



CriptoRed mantiene un buen calendario de eventos y en el INTECO podéis consultar otro.



De forma económica y enfocado únicamente al contexto técnico de forma detallada y amplia, podemos optar por formaciones específicas como la que imparte Informatica64 en sus FTSAI.



Si lo que deseamos es volvernos un auténtico hatori de la seguridad, siempre podremos consultar todos los recursos disponibles en Internet y volvernos autodidactas, aquí una recopilación:



O recurrir a los clásicos libros, ya sean en papel o en formato electrónico, la lista es tan amplia que nosotros hemos recogido algunas de las mejores editoriales.



Para finalizar, una excelente opción para adquirir conocimientos rápidamente y colorear de forma considerable nuestro currículum vitae es la obtención de un Master en Seguridad de la Información, existen decenas de opciones con horarios y duraciones distintos y aunque económicamente suponen un desembolso considerable, son bastante amplios como para adquirir una visión completa de todo lo que se realiza en un departamento de seguridad de la información.



Mediante el portal emagister.com se pueden consultar muchas ofertas. Aunque por razones obvias, yo os sugiero el de la Universidad Europea de Madrid en el que imparto algunas clases ;-)




4.- AMPLIANDO EL CURRICULUM



¿Tú ya tienes tus estrellas?, si no es así, ¡mejora tu currículum!



Un experto en seguridad es alguien con muy buena base en muchos campos y por esto, un camino que sigue mucha gente es la evolución desde otro departamento técnico como administradores de sistemas o desarrolladores a uno de seguridad. Por lo tanto una buena opción es certificarse en algunos de estos temas teniendo en cuenta nuestros gustos y en que se desea trabajar posteriormente.


EC-Council nos permite certificarnos en hacking (CEH) o análisis forense (CHFI), sin tener experiencia siempre y cuando hagamos uno de sus cursos oficiales.

Mediante el uso de centros "Prometric", también podemos certificarnos en múltiples productos por un coste razonable (120-220$), cito algunos ejemplos aunque lo mejor es visitar la web y buscar los que más nos puedan interesar.



Para obtener estas certificaciones en general no es necesario asistir a ningún curso y se pueden preparar con el material disponible en la red.

Para finalizar, se puede adquirir experiencia solicitando alguna de las becas o aplicando a puestos de este tipo mediante portales como infojobs.com, puede ser una magnífica oportunidad para dar los primeros pasos e incluso quedarse en la compañía.



Leer más...