31 mayo 2013

Libros gratuitos de seguridad de la serie "For Dummies"

La serie de libros "For Dummies" (de la editorial Wiley) es muy popular por tener manuales técnicos sencillos, aunque no por ello poco potentes técnicamente. Estos libros suelen tener un precio de entre 20 a 40 dólares y abarcar decenas de temáticas, incluidos libros de seguridad.

Pero además de los libros tradicionales, también han creado guías resumidas, escritas en inglés, que en ocasiones son realmente útiles para introducirse en temas concretos rápidamente. Estas guías (que son mini-libros realmente) están patrocinadas por algunos fabricantes y se pueden descargar sin ningún coste. Eso sí, para acceder a algunos de ellos hace falta registrarse en su web (1 minuto) para que nos manden el enlace a nuestro correo electrónico.

Personalmente he leído alguno de ellos (son bastante cortos y en un par de horas se ventilan) y en general me han gustado. Por ese motivo me decidí a buscar que otros tenían publicados, y crear este recopilatorio que espero os sea de utilidad.

[Solera] Big Data Security for Dummies
http://pages.soleranetworks.com/BigDataSecurityforDummies.html

[Sourcefire] Intrusion Prevention System for Dummies
https://info.sourcefire.com/IPSforDummies-Registration.html

[Lancope] Netflow security  monitoring for Dummies
http://www.lancope.com/netflow-for-dummies/

[TrendMicro] IT Security for Dummies
http://campaign.trendmicro.com/forms/it_security_for_dummies_530

[PaloAlto] Modern Malware for Dummies
http://www.accumuli.com/pages/files/Modern_Malware_for_Dummies_Guide.pdf

[PaloAlto] Next-Generation Firewalls
http://www.bradreese.com/blog/firewalls-for-dummies.pdf

[PaloAlto] Network Security in Virtualized Data Centers for Dummies
http://connect.paloaltonetworks.com/nsvdc-4dummies-EN

[Avaya] VoIP Security for Dummies
http://www.penninetelecom.com/files/VoIP_Security_for_Dummies.pdf

[Avaya] Converged Network Security for Dummies
http://www.unitytelecom.net/dummies/CNSfordummies.pdf

[Sophos] Securing Smartphones & Tables for Dummies
http://www.sophos.com/en-us/security-news-trends/security-trends/securing-smartphones-and-tablets-for-dummies-register.aspx

[Fortinet] Unified Threat Management for Dummies
http://www.fortinet.com/sites/default/files/whitepapers/FTNT_UTM_For_Dummies.pdf

[Qualys]  IT Policy Compliance for Dummies
http://www.qualys.com/forms/ebook/it-policy-compliance-for-dummies/?leadsource=8558941&kw=security+policy+compliance

[Qualys] Vulnerability Management for Dummies
http://www.lsec.be/upload_directories/documents/2011/VM_for_Dummies.pdf

[Qualys] Web Application Security for Dummies
http://static.progressivemediagroup.com/Uploads/WhitePaper/912/96bb16b0-5a62-4345-aa92-0fd402e85953.pdf

[Qualys] PCI Compliance For Dummies
https://www.qualys.com/forms/ebook/pcifordummies/

[Tripwire] Security Configuration Management for Dummies
http://www.tripwire.com/scm

[corero] DDoS for Dummies
http://www.ireo.com/fileadmin/docs/documentacion_de_productos/Corero/Corero%20-%20DDoS%20for%20dummies.pdf

Entrada actualizada Junio/2013:

[thales] Key Management for Dummies
http://www.ictsecurity.com.au/wp-content/uploads/2012/03/Key-Management-for-Dummies.pdf

Leer más...

30 mayo 2013

La memoria cache de Firefox: fallo o característica.

Todo aquel que haya administrado un sitio web importante sabrá que gestionar el manejo de la caché de los navegadores para optimizar el rendimiento es un dolor de cabeza. Exactamente igual que ocurre con cualquier otra cosa en la que hay que pegarse con los navegadores más populares y las implantaciones que hace cada uno de ellos de un estándar. ¡Qué se yo! me viene a la cabeza el CSS o el javascript.

Pero hoy nos vamos a centrar en la caché, esas directrices mandadas desde el servidor, que muy concienzudamente un equipo de expertos arquitectos en calidad y rendimiento o simplemente administradores y desarrolladores con dos dedos de frente han decidido poner para aliviar la carga de recursos de la red.

Breve y resumidamente, existes dos tipos de cabeceras que un servidor web puede mandar: las que indican cuando expira un elemento y las que indican que método usar para comprobar la validez de ese elemento cacheado.

Históricamente cada familia de navegadores se ha comportado de forma distinta con las zonas grises del estándar (rfc2616), por ejemplo, Firefox no cacheaba ningún contenido que se sirviese por SSL salvo se indicase con una cabecera específica de que era contenido público (Cache-Control: public), incluso indicando con otras cabeceras que se debía guardar. En cambio, Internet Explorer o Chrome, salvo se dijese lo contrario con una correcta configuración, cacheaban o no bajo su criterio.

El ejemplo anterior podría ser una buena noticia si todos los navegadores hiciesen lo mismo: no almacenar el contenido servido por SSL si no tiene configuración de caché. Esto supondría que la web cargaría algo más lenta y que los servidores tendrían que servir repetidas veces contenidos estáticos. Algo poco realista con los números y cargas que manejan las webs de hoy en día.

Me pierdo, volviendo al tema de las cabeceras. Para indicar cuando el contenido se ha de renovar se usan dos cabeceras Cache-Control: max-age o Expires (en ocasiones se ven ambas, pero son redundantes y solo debería ser una de ellas), y el tiempo en segundos en el que caduca el contenido o la fecha en la que se debe renovar. Para saber si un elemento cacheado sigue siendo válido, se usan otras dos cabeceras más, también redundantes entre ellas: Last-Modified o ETag y al igual que en el caso anterior, solo se debe usar una de ellas. En el primero de los casos, con la fecha de la última vez que se modificó el elemento y en el segundo, con un identificador único del contenido.

Cuando hablamos de caché todo el mundo sobreentiende que nos referimos a la caché de disco, en memoria no volátil, pero esto no tiene por qué ser así. Todos los navegadores también usan caches en memoria para las páginas que se visitan en ese momento.

En las últimas versiones del navegador Firefox es posible ver que elementos están cacheados tanto en disco, como en memoria, tan solo escribiendo en la dirección about:cache, esto creará una página con enlaces a los contenidos guardados.

about:cache en Firefox
Está característica es muy útil, junto a las herramientas de desarrollo, firebug, proxies, etcétera, para ver que elementos se han almacenado y en caso de que esté mal configurada, reportarlo como hallazgo en una auditaría web y esas cosas. Pero no es ahí donde quería llegar.

¿Qué se guarda en la caché de memoria? de hecho, ¿qué narices es la caché de memoria? ¿cómo se comporta ante las cabeceras mandadas por el servidor? La respuesta es simple: guarda todo, incluso aunque se especifique rigurosamente que no se debe almacenar (Cache-Control: no-store) porque son datos sensibles, como por ejemplo, correos electrónicos de un webmail, mensajes de tuenti, o qué se yo. En el fondo, esto tiene sentido, ya que el estándar dice que esas cabeceras solo se deben de usar para memoria no volátil, así que .. ¿ajo y agua?

Entrada en cache de memoria de página HTTPS (con no-cache)

Claro, para que Firefox funcione ha de usar este tipo de caché, ¿cómo no va a usarla? El problema no es que la use, si no lo sencillo que resulta acceder a la información (about:cache) sin volcar la memoria del proceso a un fichero, ni técnicas hackearianas. Además, parece no liberarla cuando corresponde, ya que al cerrar la pestaña sigue permaneciendo allí... olvidada, esperando ser consultada.

Realmente todo esto no es nuevo y los desarrolladores de Firefox tienen constancia de ello. Hace 3 años debatieron sobre si suponía un problema de seguridad o no y llegaron a una conclusión, que bajo mi punto de vista es errónea por los motivos que ya he expuesto.

Pues nada, tan solo tened en cuenta que si usáis Firefox en un PC que no es el vuestro, no vale con darle a "cerrar sesión" y cerrar la pestaña, si no se cierra por completo el navegador, que el siguiente usuario vea tus secretos, es cuestión de segundos.



Leer más...

29 mayo 2013

Certificados SSL irrevocables

Uno de los pilares básicos en el 'mundo SSL/PKI' es la posibilidad de beneficiarse de poder contar con una entidad certificadora que, aparte de asegurar la identidad, sea capaz de gestionar posibles desastres revocando los certificados emitidos.

Esto, que parece algo obvio, se sigue haciendo mal en pleno 2013. Seguimos suspendiendo en algo que debería estar totalmente estandarizado y ser cumplido con la máxima rigurosidad.

Según leo de un artículo recientemente publicado por netcraft, algunas CAs reconocidas (aprobadas por Microsoft, Mozilla, etc) emiten certificados que son virtualmente irrevocables.

Veamos porque:

De entrada los navegadores hacen de su capa un sayo y cada uno verifica el estado de los certificados como le da gana.

Existen dos formas de verificar si un certificado está vigente o ha sido revocado:

-Usando CRLs: son ficheros donde aparecen los certificados revocados, el navegador debería descargar ese fichero y comprobar

-Usando servicios OCSP: Mucho más óptimo que lo anterior, se lanza una llamada a un servicio OCSP preguntando por un certificado y el servicio responde si es o no es válido.

Para implementar cualquiera de las formas anteriores, una CA debe poner esa información como parte del certificado que emite en el campo (extensión) apropiado. De esa forma, cuando se presenta un certificado al navegador, este tiene a mano alguno de estos dos métodos para verificar.

Como decía al principio, cada navegador tiene su propia forma de comprobar la validez de un certificado:

Firefox solo usa OCSP para comprobar la validez de los certificados digitales salvo que sea un certificado EV. Esto significa que si solo hay disponible CRLs, no se valida nada. Además solo valida el certificado del servidor, no comprueba la validez de toda la cadena

Explorer hace mejor las cosas y en este caso si comprueba tanto uno como otro método.

Google Chrome no implementa ninguno de los métodos estándar (salvo para certificados EV) y apuesta por gestionar una lista de certificados revocados propia que mantiene a base de updates. (Obvio pensar que esto funciona para grandes CAs pero habría que ver que sucede con otras locales)

Safari por defecto directamente no comprueba nada salvo que sea un certificado EV

Por si esto no fuese ya alarmante, algunas CAs directamente emiten certificados en los que no añaden ninguno de los métodos anteriores. Directamente generan un certificado totalmente irrevocable. Esto, que ya resulta poco aceptable para una implementación PKI 'casera', no tiene disculpa posible a nivel profesional.

Netcraft cita varios ejemplos de certificados así, y uno de ellos, el de https://sede.malaga.es/ ha sido emitido por la FNMT

Otro ejemplo de certificado 'casi' irrevocable es el de https://accounts.google.com en este caso es solo 'casi' porque al menos implementa el sistema de CRLs, lo que significa que Explorer sí lo puede verificar pero Firefox no.

[Referencias]



Leer más...

27 mayo 2013

¡¡OWISAM os necesita!!


OWISAM (Open WIreless Security Assessment Methodology), es una metodología abierta para el análisis de seguridad Wireless. Sus fundadores, los hermanos Tarascó, la presentaron en la pasada RootedCon, para que todo aquel que estuviera interesado colaborase editando sus páginas y contribuyendo con ideas.

A día de hoy, aun me pregunto cómo es posible que no existiese antes una metodología similar, con lo comunes que son las auditorias de redes inalámbricas. Si bien es cierto que OSSTMM incluye en el capítulo 9 vagas referencias, muy lejos queda, de lo que ya es hoy por hoy este proyecto.

Es en concepto y forma similar  a OWASP, donde se habla de controles técnicos a bajo nivel, herramientas y procedimientos para el análisis. Entre sus páginas ya hay algunas entradas creadas, como por ejemplo los riesgos Top 10:
OWISAM Top10
Pero queda mucho trabajo por hacer, páginas que editar, procesos que documentar, textos que traducir e ideas que debatir. Hace falta que la comunidad una sus fuerza y se ponga las pilas, al igual que ocurrió en su momento con OWASP.

OWISAM: metodología de análisis

En España y en Latinoamérica en general hay mucho talento en este campo, hay claros ejemplos como seguridadwireless y su wifislax, donde todos los temas que trata OWISAM seguramente se han tratado alguna vez. ¿Por qué no darle orden y forma?  Todo el mundo se beneficia, los auditores podrán saber qué y cómo mirar en una auditoría y aquellos que quieran ser auditados, sabrán que controles se han estudiado.

Para colaborar, la mejor forma es empezar por subscribirse en su lista de correo y ver en que se puede aportar, para ello, tan solo hace falta mandandar un mensaje a la dirección: owisam_es-subscribe@owisam.org


Leer más...

26 mayo 2013

Enlaces de la SECmana - 176



Leer más...

24 mayo 2013

SBD pregunta: En tu opinión ¿Cual es el mejor antivirus?

La pregunta es bastante polémica -lo sé- y no es mi intención crear ningún 'flame' o guerra entre partidarios y detractores de las diferentes soluciones de Antivirus, el objetivo es ver la percepción general de la gente sobre las diferentes soluciones de Antivirus.

En infinidad de ocasiones me/nos han hecho esta pregunta y lo cierto es que siempre (al menos a mi) se me queda cara de poker así que, de una forma sana y constructiva, creo que resulta positivo valorar vuestra opinión

Para ello he seleccionado unas cuantas soluciones AV (pido disculpas de antemano por las que me haya podido dejar, las que falten las podéis dejar en los comentarios) y lanzo la pregunta:


En tu opinión ¿Cual es el mejor antivirus?
Leer más...

23 mayo 2013

Cómo obtener números SMS temporales

De sobra son conocidos los servicios de correos electrónicos temporales, especialmente útiles a la hora de darnos de alta en servicios de los que no nos fiamos excesivamente.

No obstante, en muchos sitios web, además del consabido correo, te piden algo más intrusivo: tu número de teléfono móvil

Ante esta situación, o bien confías y facilitas tu número real o necesitas tener una alternativa. Existe desde hace tiempo un servicio como FonYou que te permite tener un número de móvil B, pero no es esto exactamente lo que buscamos: necesitamos un número de fácil creación y del que despreocuparnos una vez superado el registro.

Para eso, existen varios servicios en internet que te 'prestan' un número para que recibas sms. En muchos casos estos servicios son un atentado a la privacidad (los textos son públicos ...) así que cumplen la función antes descrita: necesitas superar el trámite de un registro en un sitio de confiabilidad nula.


Este servicio pone a tu disposición varios números de móvil de diferentes nacionalidades (Alemania, UK, Suecia, etc) que puedes facilitar como número de contacto. Una vez van llegando los sms se van publicando en la web. Como decíamos antes, todo un atentado a la privacidad.



Al igual que el servicio anterior, la privacidad brilla por su ausencia, mantienen un listado de números vinculados a la web y los sms se van publicando según llegan.



Mismo procedimiento que los anteriores: varios números públicos y luego  ¡ la gran fiesta del sms-roulette !


Este servicio es diferente, en teoría te ceden tu propio número de USA para que envíes y recibas sms de forma privada, incluso disponen de aplicaciones para IOS y Android. Durante las pruebas que hice no conseguí que me llegasen los SMS de sitios como Gmail, no obstante puede ser un problema puntual
Leer más...

22 mayo 2013

Se buscan expertos en ciberseguridad

A estas alturas de la película a nadie le sorprende que los distintos estados a nivel internacional estén buscando refuerzos en sus capacidades de reacción frente a amenazas en la red de manera que las infraestructuras tecnológicas sobre las que se apoyan las comunicaciones, tecnologías así como los sectores estratégicos e infraestructuras críticas, cuenten con medios tecnológicos y humanos suficientes de cara a garantizar la persistencia de los sistemas y la operativa convencional de los mismos.

Desde casos de incidentes, ataques y amenazas relacionados con las infraestructuras críticas como Stuxnet (2010), Duqu (2011), o Flame (2012), hasta el más actual Rocra (2013), dirigido al robo de información crítica y sensible de organizaciones gubernamentales de diferentes países, la evolución de las amenazas hacia ataques más dirigidos (APTs) se constata.

Pero no sólo las grandes organizaciones o instituciones gubernamentales se encuentran en situación de peligro, los ciudadanos también son objetivo. Prueba de ello fue la infección masiva producida por la familia de virus Ransomware, conocido también como virus de la Policía, que ha afectado (y aún afecta) a numerosos usuarios en todo el mundo.

En el caso de España, en INTECO-CERT hemos afianzado nuestra posición como actor clave en la gestión y respuesta frente a este tipo de amenazas y, conscientes de la necesidad de potenciar las capacidades de detección y reacción, hemos puesto en marcha el Centro de Inteligencia en Ciberseguridad. Seguro que más de uno se pregunta, bien pero ¿Qué se hace en este centro? Actualmente llevamos a cabo distintos tipos de tareas relacionadas con el análisis de malware, forense, gestión de incidentes y amenazas, desarrollo y despliegue de herramientas de detección, monitorización y análisis, así como otras actuaciones con alta carga de investigación e innovación.

El objetivo es claro: detectar, anticiparse y reaccionar, en la medida de lo posible, ante los miles de ataques que diariamente sufrimos ciudadanos, empresas y todo tipo de organizaciones. Y todo en colaboración con distintos equipos de seguridad tanto internacional como nacional, y para muestra un botón; el informe que hemos publicado esta semana junto con CSIRT-CV y titulado “Detección de APTs” .

Como no podía ser de otra manera, y fruto tanto de nuestra misión, como de las necesidades de protección nacional que se ponen de manifiesto, en INTECO buscamos ampliar plantilla con 20 profesionales altamente cualificados en el ámbito de la Ciberseguridad. Para no descartar a nadie únicamente por su CV, la selección que se hará desde INTECO se basará en una primera prueba de conocimiento online donde todos los candidatos tendrán la posibilidad de demostrar sus skills técnicos en distintas áreas de especialización (Computer forensics, Análisis de malware, Análisis de vulnerabilidades e Incident handling). Los salarios serán competitivos en función de la valía del candidato, por lo que, para todos aquellos que estéis buscando algo de estas características, solo os queda demostrar lo que sabéis...

Aquí os dejamos los enlaces de la oferta:

Darle las gracias Yago, Alex, José Antonio y Lorenzo por permitirnos usar su ventana al mundo.

-----------------------
Artículo cortesía de Daniel Fírvida
Leer más...

21 mayo 2013

Better WP Security: Completo plugin de seguridad para Wordpress



A la hora de diseñar un sitio web o un blog, frameworks como Joomla, Drupal o Wordpress ayudan a tener un punto de partida o base, que permite añadir páginas, con diverso contenido y con la posibilidad que los usuarios interactúen dejando comentarios.

Sin embargo, cuando se trata de colgar una página web a Internet, cualquier medida de seguridad que se tome es poca. Son incontables las amenazas existentes, tanto de forma intencionada, como por bots automáticos que, incansablemente acechan la red, en busca de vulnerabilidades o malas configuraciones en direccionamiento público. 

En Security By Default ya hemos analizado, en vidas pasadas, diferentes formas de ayudar a proteger  Wordpress. Incluso, para evitar el acceso "de raíz" al panel de administración pusimos a vuestra disposición un módulo Apache para permitir, en modo "lista blanca", accesos desde direcciones IP dinámicas, listadas en un registro DynDNS, a URIs como la del panel de administración de Wordpress.

Sin embargo, buscando herramientas existentes que aporten seguridad a la instalación, dí con un plugin que me ha parecido de lo más completo y he querido compartir con vosotros.

Se trata de Better WP Security, un plugin que permite gestionar diferentes parámetros que mejoran la seguridad. La forma de visualizar y configurar cada parte es mediante pestañas, en el panel de administración de Wordpress, en una sección llamada Seguridad.

La primera de las pestañas es un Dashboard, un resumen donde podemos ver el estado actual de la seguridad de Wordpress, en base a una "auditoría" que nos muestra la herramienta, destacando cada uno de los puntos por colores, dependiendo de "lo bien o mal" que estén, así como la criticidad de los mismos. Además, si queremos modificar un punto en concreto, para arreglar el problema señalado, hay un acceso directo desde la misma línea.



En cada una de las pestañas, nos da un pequeño resumen de ayuda sobre los parámetros que podemos modificar desde la misma.

La pestaña User nos permite cambiar el nombre del usuario admin y el ID (que por defecto es el 1 para dicho usuario)



En la pestaña Away, podemos "cerrar con llave" el acceso a la pantalla de administración de una forma programada, es decir,... No queremos que se pueda acceder al panel, en determinado horario. Esto es útil en caso que tengamos claro que no tendremos que acceder para nada, pero puede derivar en un Auto-DoS si no podemos acceder al panel de administración y por una emergencia, se necesita 



La pestaña Ban, nos permite añadir direcciones IP o User-Agents que, directamente, no queremos permitir que accedan al framework Wordpress. Si no tenemos una lista de IPs actualizada con la que podamos alimentar manualmente una lista negra, se puede confiar automáticamente en la que provee Hackrepair.com, que se integra de forma automática con el plugin.




La ruta por defecto donde se almacena mucho contenido que se utilizará en el blog o sitio web, está tras el directorio /wp-content. Si, por una configuración relajada, Apache permitese el Directory Listing, se podría acceder directamente a todos los ficheros contenidos en él. Desde aquí se permite modificar el directorio, tanto a nivel de sistema de ficheros, como las referencias que haya desde cualquier parte de Wordpress.  





En la pestaña Backup, existe la posibilidad de ejecutar backups periódicos que se enviarán por correo a una cuenta especificada o que se almacenarán en la propia aplicación. Es algo recomendable disponer de backups para poder recurrir a ellos en caso de catástrofe.





Al igual que ocurría con el directorio wp_content, las tablas de base de datos que utiliza Wordpress, por defecto, empiezan por "wp_". Esto, en caso de descubrirse un SQL Injection para Wordpress, permitiría a un atacante, hacer operaciones sobre las tablas, o al menos tener un punto de entrada conocido. Por aquello de ponerlo más complicado, esta herramienta nos permite cambiar el prefijo por lo que nosotros queramos, diferente de "wp_"




Para la administración de Wordpress, se accede a /admin. En el post en el que liberamos el módulo mod_dynip, un lector preguntaba, en los comentarios, si existía forma de modificar el /admin por un valor arbitrario. Pues, por lo visto, Better WP Security, permite en la pestaña Hide, cambiar el valor de /login, /register y /admin.



La sección Detect permite identificar y correlar aquellas direcciones IP que escaneen el servidor web haciendo pruebas de diccionario o fuerza bruta, en base a los errores HTTP 404 Not Found, devueltos por el servidor. La herramienta nos permite definir umbrales de hits fallidos por unidad de tiempo. En base a esto el plugin añadirá en la lista negra a las direcciones IP atacantes durante un tiempo predefinido.
Asimismo, en esta misma pestaña podemos configurar la detección de modificaciones de la integridad de los ficheros Wordpress. Si algún fichero cambia, y no hemos añadido/modificado nada, y nos llega un coreo con modificaciones, puede que tengamos alguna visita en el servidor. En mi caso, no lo tengo habilitado, puesto que ya utilizo AFICK a nivel de servidor completo, por lo que me resulta redundante e innecesario hacerlo también a nivel Wordpress. 




Igual que hacíamos anteriormente a la hora de detectar ataques de enumeración de directorios o ficheros en base a monitorizar las respuestas HTTP 404 Not found, en la pestaña Login, podemos indicar los parámetros de configuración para detectar ataques de fuerza bruta/diccionario ante la autenticación de usuarios.  



Si permitimos acceso HTTPS y HTTP, a nivel de servidor, puede ser útil forzar el uso de SSL para los accesos, así como pantallas en las que haya que introducir credenciales. En la sección SSL, podemos forzar que esto así sea.




La sección Tweaks, permite habilitar otras medidas de seguridad que no encajan en otras pestañas. Por ejemplo, es muy típico identificar la versión de Wordpress utilizada por un servidor en base a recuperar el fichero readme.html, donde ésta viene mencionada. Este fichero se añade, cada vez que se hace una actualización de Wordpress, aunque lo hayas borrado de la instalación anterior. Para evitar que nos puedan pedir según qué tipo de ficheros, podemos habilitar el check correspondiente.

Tened cuidado si ya tomáis ciertas medidas sobre el propio Apache o si utilizáis algún plugin que haga labores de WAF, puesto que puede dar más de un problema habilitar el último check aquí.  


La pestaña Logs, nos permite ver un sumario de la actividad de detección/protección llevada a cabo por el módulo Better WP Security. Asimismo, podemos desbloquear direcciones IP que puedan ser falsos positivos por ejemplo.


En resumen, una herramienta imprescindible. Si administras un wordpress y quieres tener una mayor tranquilidad, incrementando la seguridad en diferentes aspectos, este es un buen plugin. Quizá me gustaría mencionar que la traducción al español no es completa o no es todo lo buena que debería, pero se entiende todo correctamente y como aplicación funciona bastante bien.
Leer más...

20 mayo 2013

Snoopylogger, guarda las acciones de tus usuarios en Linux

La problemática de monitorizar usuarios en servidores es muy compleja: usuarios compartidos, decenas de formas de ejecutar comandos o logs que el propio usuario puede borrar, o incluso que suban o creen un binario y no quede claro que llamadas y ficheros modifica.

Hace unas semanas hablábamos de sudosh2, como alternativa al comando "script" de linux que genera un vídeo, pero hay otras herramientas de registro sencillas de implantar, que además permiten hacer búsquedas en los ficheros.

Una de estas opciones es snoopylogger, incluido en muchas distribuciones, y que tan solo es una librería que se encargará de almacenar los comandos y el usuario que los ejecuta mediante syslogd.

Es importante usar la última versión (=>1.9.0), que arregla un importante fallo que se produce en algunas distribuciones y que deja el sistema colgado cuando se invoca un reinicio. Esto excluye algunos paquetes distribuidos por Fedora/RedHat.

En tiempo de compilación, es imposible configurar la facilidad y nivel en el que serán mandados los logs, así como el script externo para filtrar resultados, que por defecto es: /usr/local/snoopy/bin/snoopy-filter.sh.

Una vez configurado y ejecutado el make, make install, make enable, la herramienta estará dispuesta y preparada para guardar los comandos. En RedHat por defecto, caerán en /var/log/secure, ya que está definido como authpriv y nivel info.

Lo siguiente es probarlo, y la mejor forma es invocar un comando en shell y crear un pequeño código que invoque otro comando (/bin/ls en este ejemplo), para asegurarnos que las llamadas execve() son registradas.

Tal y como se ve en la captura, se registra la compilación, la llamada a ./test y el execve() de 'ls' que esta aplicación hace.

Prueba de la instalación de snoopylogger.
Leer más...

19 mayo 2013

Enlaces de la SECmana - 175

Leer más...

18 mayo 2013

Videos de las UPM TASSI 2013

Desde la UPM llevan celebrando las TASSI (Temas Avanzados en Seguridad y Sociedad de la Información) desde febrero de este año, en lo que es ya su novena edición, a razón de una pequeña charla de hora y media cada quince días.

El pasado 17 de abril tuve el honor de participar en una de estas clases y ya se pueden ver el vídeo en el canal oficial de Youtube la Universidad Politécnica de Madrid.

La conferencia era una introducción a los conceptos y ámbito de la explotación de vulnerabilidades en un test de intrusión. Porque se hace este tipo de actividades y alguna demostración sencilla de cómo funcionan.



No es el único, y todos los anteriores también han sido publicados. También están las presentaciones y materiales de otros años anteriores en el histórico que mantienen en la página web.

Dejo aquí todos los de la edición 2013 a falta de un par que estarán muy pronto en el mismo sitio.








Leer más...

17 mayo 2013

Detectando IPs TOR en ficheros access_log

Cuando hablamos de TOR, es bastante frecuente encontrarse con la pregunta de ¿Y cómo detecto si una IP proviene de TOR? Normalmente asociada a conexiones web.

En realidad, saber si una IP proviene de un nodo TOR es relativamente sencillo y no requiere magia de ningún tipo.

El propio proyecto TOR te explica como hacerlo y ofrece un montón de ejemplos para hacerlo desde múltiples lenguajes de programación (Python, PHP, Perl ...)

Por si no fuera poco, la lista de nodos TOR es pública y se puede consultar desde esta URL.

Pensando desde un punto de vista forense, tal vez sí echo a faltar herramientas que permitan analizar el contenido de un fichero de logs Apache e indique cuales de esos accesos provienen desde una red TOR.

Como no he encontrado nada que me haya convencido, decidí hacer mi propia implementación.

Cuando me puse a ello, tenía dos opciones posibles: O bien me iba a las consultas DNS (como en los ejemplos antes mencionados) o lo hacía de una forma un poco diferente.

Creo que es poco óptimo el ir IP por IP del fichero de log y lanzar una consulta DNS, así que pensé que era mejor descargar la lista completa de nodos TOR, parsearla para obtener la IP y comparar con lo que iba encontrando.

El resultado es este:



Para ejecutarlo, tan solo toma como parámetro el fichero de log a analizar.

$ python parsetor.py access_log

Cabe señalar un matiz: Si en el momento en el que se realiza el análisis el nodo TOR no se encuentra activo, no aparecerá, así que cuanto más frescos sean los datos, más oportunidades hay de tener un resultado más fiable
Leer más...

16 mayo 2013

¿Buscas empleo en seguridad?

Para aquellos afortunados estudiantes que terminan su último año de carrera y están empezando a buscar trabajo, en el mundo de la seguridad hay una gran demanda. Con esta entrada vamos a ver algunos trucos para encontrar un hueco.

No voy a comentar nada sobre el formato, apariencia o errores típicos del CV. Eso lo dejamos para otro día. Tan solo mencionar algunos consejos y opciones, que posiblemente a muchos candidatos les sean útiles.


No hay duda de que el portal por excelencia en España para buscar empleo es Infojobs, aunque no es el único y existen otros como Tecnoempleo. También hay otros menos populares, como Michael Page, donde se buscan perfiles técnicos con más experiencia, mandos intermedios o alta dirección.

En cuanto a infojobs, una característica que personalmente uso bastante es la búsqueda mediante palabras clave, por ejemplo "OWASP", o "OSSTMM", o incluso alguna certificación "CEH", y a partir de los resultados, añadir a las RSS todas las ocurrencias, de tal forma que cada vez que se añada un nuevo puesto con alguna de estas búsquedas, me cree una entrada nueva en el lector. Del ejemplo anterior, si se busca por "CEH", la URL de la feed será: https://www.infojobs.net/trabajos.rss/kw_ceh/

Búsqueda en Infjobs: botón de añadir a RSS

Otra alternativa es ser un pesado, ser un pesado siempre funciona. Son las matemáticas de los grandes números. Si mandas 12 millones de correos de spam, alguno cuela. En este caso es lo mismo. Mandar vuestro resumen a todo aquel que tenga alguna relación con seguridad. Una buena técnica es usar el catálogo de empresas que mantiene el Inteco y que además permite filtrar las compañías por la actividad a la que se dedica. De estas compañías, podréis mandar vuestro currículum visitando cada una de sus páginas y localizando los buzones típicos de "trabaja con nosotros". Además, esto tiene la ventaja de que puedes añadir un mensaje personalizado para la compañía concreta que mostrará tu interés por integrarte en su plantilla.


Catálogo de empresas de Inteco: filtrando por categoría.
También hay sitios como el blog de 48bits que mantienen secciones de trabajo, donde tanto empresas como candidatos pueden ponerse en contacto.

Sección "Jobs" de 48bits.

Por último, estar en listas de correo de seguridad también suele funcionar, cada poco tiempo mandan correos con ofertas y si además participas en la lista, pues aprenderás y enseñarás al resto y te darás a conocer. No nos engañemos, este sector es muy muy pequeño y al final casi todos nos acabamos conociendo. El mejor ejemplo de lista de seguridad, que sigue viva y el ambiente es envidiable, es la lista que hay en torno a la RootedCon, tan solo hay que mandar un correo a: rootedcon-subscribe@listas.rooted.es

¡Suerte!

Leer más...

15 mayo 2013

Mi experiencia personal en Conectacon 2013 #conectacon




Sucedió hace unos meses, cuando recibo un whatsapp, el método de comunicación universal desde hace unos años hasta ahora, del gran Pepelux. Me comentaba que si me apetecía participar como ponente en la próxima edición de la Conectacon, que se realizaría en Jaen, el 9 y 10 de Mayo. Entre que no sé decir que no, y que la crónica que nos mandó de la primera edición tenía una pinta envidiable, acepté encantado la propuesta. Según fueron pasando el tiempo y me fueron poniendo al día del resto del cartel, sabía que me lo pasaría genial junto a un montón de amigos, esta vez de España.

Mi compañero de viaje en tren a Jaen, fue el genial y dicharachero Juan Garrido "Silverhack" con quien llegamos, entre risas, a la estación. A los pocos minutos, apareció en la estación el comité de bienvenida, formado por los organizadores Antonio CruzRaimundo Alcázar, "el presi y el vice", para recogernos. Desde este minuto (e incluso en días previos) hasta el día de hoy, la hospitalidad y el trato por su parte ha sido inmejorable. En todo momento, estuvieron pendientes de los ponentes, ofreciendo lo que fuese necesario para asegurar nuestra comodidad.

Después de dejar el equipaje en el hotel nos llevaron a una cena de bienvenida en la que no faltó la cerveza y la comida en abundancia, siempre precedida de unos cuantos platos de olivas de la zona. Dejando a un lado discusiones puntuales con algún "elemento", el ambiente de la cena fue espléndido, dando lugar a multitud de "situaciones inexpugnables en el camino del guerrero con herramientas low cost" (internal joke) que perdurarán en la cabeza de los asistentes durante, espero, muchos años.




Jueves 9 de Mayo, comienza la Conectacon!

Tras una breve charla de inauguración por parte del Vicerrector de TIC de la Universidad de Jaen y Antonio Cruz (como presidente de la Asociación EnRed 2.0) tuve el honor de ser el primer ponente. En este caso, el tema de la charla fue "Análisis forense de IOS con herramientas Low Cost", en el que hablé de diferentes herramientas, tanto comerciales como libres para analizar y presentar los datos que se pueden extraer de un dispositivo con IOS (ya sabéis, el sistema operativo de los iCacharros), así como liberar una herramienta que, próximamente, pondré a disposición del público lector de Security By Default. 



La siguiente de las charlas fue a cuenta de los geniales Pepelux y Juan Garrido, que nos contaron de una forma bastante amena, y muy alarmante por cierto, las interioridades de la red Tor, las aberraciones que esconde la Deep Web y un montón de estadísticas extraídas en base a los resultados devueltos por herramientas desarrolladas por ellos mismos, con fines académicos e investigativos, para llevar a cabo clasificaciones respecto a los tipos de páginas encontradas. Ambos investigadores trabajan con total transparencia ante los cuerpos y fuerzas de seguridad del estado, cediendo incluso el fruto de su trabajo al Grupo de Delitos Telemáticos de la Guardia Civil, a fin de ayudar, en la medida de lo posible, contra algunas de las ilegalidades que se puedan encontrar en la Deep Web.




La siguiente charla, venía de la mano de uno de los profesionales más encantadores, carismáticos y apreciados por mí, de todo el panorama español de este sector: el bilbaino afincado en Asturias, Dabo. Atención al título de su presentación: "Seguridad y optimización, el camino del guerrero hacia la paz interior del GLAMP". Esta ponencia, tenía la peculiaridad de ser una demo continua, y el ponente habitual de los "podcasts con voz de locutor", explicó en vivo, con conexión directa a servidores en la nube diferentes herramientas para optimizar la ejecución y proteger la integridad de los datos alojados en servidores LAMP. Sin duda, la charla fue todo un éxito, puesto que la profesionalidad de Dabo en su día a día en Apachectl, así como su amplia experiencia, son garantes de ello. 



Lamentablemente, no pude quedarme a verla completa puesto que Raimundo Alcázar "el vice", me llevó corriendo a los estudios de radio de Canalsur Jaen, en los que nos esperaba una locutora de un programa local, que quiso concienciar sobre seguridad a sus oyentes, con Raimundo y conmigo. Podéis escuchar el corte del fragmento de la radio a partir del minuto 12 en Hora Sur Jaen de Canal Sur Radio




Según llegamos de vuelta, ya se encontraba en el escenario Jose Selvi, autor del blog de seguridad Pentester.es hablando de "Offensive Man-in-the-middle". Este gran profesional mostró de una forma muy comprensible para todos los públicos, las posibilidades de ataques que se pueden llevar a cabo en situaciones Man-in-the-middle. Habló de herramientas tan potentes como the middler, por supuesto el conocido y utilizado framework Metasploit, en el que Jose implementa habitualmente sus propios scripts.




Por la tarde, se llevaron a cabo dos sesiones de dos talleres diferentes: "Análisis Forense en entornos Windows" por parte de Juan Garrido; y "Hacking web" por Pepelux, Dani Kachakil y Roman Medina, que fueron muy bien valorados según la crítica de los asistentes.




Cabe destacar el gran despliegue de repercusión mediática conseguida por Raimundo Alcázar, que dejó claro que a un movimiento de un dedo, Jaen se vuelca con él.



Mientras transcurrían los talleres, una unidad móvil Canalsur Televisión, se acercó a la Universidad de Jaen, y realizó una entrevista al propio Raimundo y a Jose Selvi, en la que explican los peligros de privacidad que esconden los dispositivos móviles. Bajo estas líneas podréis ver el corte del programa que ha hecho público la organización de Conectacon. Por cierto, que encontraréis a algún actor extra que os resultará conocido :D



Una vez terminada esta jornada, nos llevaron al hotel, y tras una merecida ducha, la organización nos obsequió con una opípara cena junto a los patrocinadores del evento. 


Viernes 10 de Mayo: Día 2

El encargado de dar comienzo a la segunda jornada fue Daniel Medianero. Arrancó con pequeñas modificaciones con el título inicial de su charla "Desarrollo Inseguro en Android". Por aquello de adaptarlo a la terminología utilizada en el evento, lo sustituyó por "De cómo tu aplicación Android no es tan inexpugnable como creías y cómo puedes descubrirlo siguiendo el camino del guerrero utilizando herramientas low cost"… (sí, como bien podéis imaginar, lectores, hubo momentos repetitivos de cachondeo entre nosotros con esto de las herramientas low cost, la inexpugnabilidad y el camino del guerrero… a lo largo de los dos días de jornadas). Dani nos contó, e incluso demostró, cómo utilizando aplicaciones de Android existentes, que disponen de permisos "de más", otras programadas con malas intenciones, se pueden aprovechar de dichos permisos extra de las anteriores, para fines no previstos inicialmente.



El siguiente ponente fue Alejandro Nolla que habló sobre diferentes vulnerabilidades existentes en diferentes servicios CDN, y cómo mediante su explotación, resulta posible, en algunos casos, atacar de forma directa a los clientes que dicen proteger. Esta charla tuvo un componente importante de arquitectura de redes, que es un tema que personalmente me motiva bastante, por lo que puedo decir que me resultó especialmente interesante.



Como cierre de fiesta, Dani Kachakil, uno de los integrantes de la representación española en CTFs a nivel mundial, del grupo "Int3pids", dejó con la boca abierta a todos los que asistimos a su charla, en la que detalló la resolución de 16 pruebas de criptografía que había recopilado de diferentes lugares, y que por supuesto, había resuelto. Estoy seguro que todos los asistentes nos quedamos con la sensación de decir: menudo crack es este tío!!! Si bien es cierto que muchas de las pruebas son "solucionables" con herramientas existentes (no sé si serán low cost o no ;D), hay otras en las que predomina la idea feliz por encima de todo y quedas en estado de shock analizando los procedimientos explicados por Dani. 

Por lo demás, ha sido un placer compartir un par de días con el resto de los ponentes y amigos, aprender de las charlas y disfrutar de la increible hospitalidad de Raimundo Alcázar y Antonio de la Cruz. Felicitar a Juan Cobo y Pedro Barrio, también de la organización del evento, por el apoyo mostrado y el trato brindado, que han hecho de este evento, unos días inolvidables.



Una lástima que la única nota discordante del evento, el único lunar, haya venido dado precisamente por otro miembro de la organización, que parece no aprender de errores pasados, no siendo capaz de dejar de lado sus fobias personales, intentando predisponer al mal rollo a una gran comunidad de personas. 

Quiero agradecer también a Goldrak por acercarnos a Juanito y a mí, en el inexpugnable camino de los guerreros hacia el aeropuerto de Granada, desde donde enfilamos el rumbo hacia lo que sería nuestro siguiente destino, Reus… Pero esto, es otra historia.
Leer más...