Infraestructura de red insegura

Todo el incidente ocurrido con el certificado digital de DigiNotar, fue en gran parte por las siguientes pobres medidas de la infraestructura de red de dicha empresa:

• Los servidores más críticos contenían software malicioso que se podía detectar fácilmente con software antivirus. La separación de componentes críticos no funcionó o no existía. Los servidores CA estaban muy bien asegurados físicamente pero eran accesibles desde la LAN.
• Todos los servidores de CA eran miembros de el mismo dominio windows, lo cual hizo posible el acceso a todos ellos con un solo usuario/contraseña obtenido. Además no era una contraseña muy robusta y pudo ser fácilmente descifrada.
• El software instalado en los servidores web públicos estaba desactualizado y no parcheado.
• Los servidores investigados no tenían protección antivirus.
• Había un sistema IPS, pero no está claro porque no bloqueo algunos de los ataques externos del servidor web. No había un log de seguridad de la red central.

Informe completo

¿Qué ocurre con los administradores de sistemas?

sysadmins, ante tal avalancha de sucesos acaecidos en los últimos meses, ¿estáis seguro de vuestros sistemas? o ¿están vuestros sistemas seguros?. Si no es así, habla con tú jefe, en última instancia el será el principal responsable cuando pase lo que tenga que pasar.

Google confía en sus syadmins y por ello no los controla demasiado

Puede ser que el tal Barksdale no tuviera ninguna intención maliciosa, pero la cago por aprovecharse de su puesto de sysadmin en Google.

Un sysadmin necesita acceso a los datos más confidenciales:

""You'll need access to the storage mechanisms," he explained, pointing out that in order to determine the cause of a technical issue with Gmail, an SRE might have to access emails stored on Google's servers to see if data is corrupted.

Pero eso no signfica que se puedan aprovechar de su posición, incluso en situaciones que saben que no serán estrechamente vigilados.

"And the company does not closely monitor SREs to detect improper access to customers' accounts because SREs are generally considered highly-experienced engineers who can be trusted, the former Google staffer said."

En el 2006 apunté una pequeña historia sobre problemas de este tipo, pero la historia inventada iba más allá, o no...

¿Cómo protegernos de los peligros de Internet?

Internet alberga innumerables peligros: ataques perpetrados por hackers malintencionados, capaces de tomar control de nuestros equipos y robar nuestros secretos; pérdidas económicas causadas por virus, gusanos, troyanos y demás malware; ciberbullying y grooming sufrido por menores en redes sociales; spam que inunda nuestro buzón con anuncios basura, timos y fraudes, como los dañinos mensajes de phishing; software espía que se hace con nuestros datos financieros; pornografía y contenidos inadecuados para menores; pérdida de la intimidad personal y del anonimato; la lista podría prolongarse sin fin.

Cómo protegernos de los peligros de Internet, un libro de seguridad informática que podria leer tu madre.

Fecha de caducidad: La solución al software inseguro

La industria del software tendría que aprender de la industria de la alimentación para acostumbrar a sus usuarios a dejar de utilizar un producto pasado un tiempo determinado, a partir del cual ese producto ya no es seguro para su utilización y podría ser la causa de muchos problemas para el usuario.


Hace falta una gran concienciación de la gente para que mantenga actualizados sus sistemas pero el enfoque de "fecha de caducidad" con la singular familiaridad que supone ayudaría a prevenir activamente a los usuarios de los peligros de seguir utilizando ese software, uno de los mayores talones de aquiles.

Imaginemos nuestro banco de Internet, avisándonos de que la versión de nuestro navegador no es segura, y para realizar la operación debemos actualizarlo a una versión más reciente.

Se trataría de una buena medida para el usuario básico que no se preocupa de mantener actualizadas sus aplicaciones, pero si se le acercan unas prácticas más cercanas como con las de los alimentos, pueden ayudar en gran medida.

Por otra parte para que esto sea una realidad, hace falta que los proveedores de software sigan un estricto seguimiento de los estándares y proporcionar información de versiónes del software distribuido.

[Más info]

Ellos tambien caen

Mantener uno de los mejores blog de seguridad que existen objeto de cientos de ataques diarios es lo que tiene. Los dos principales dominios de RSnake están sin servicio, ¿qué habrá ocurrido?






Escribe el resto del post aqui

Elige cualquier web vulnerable y... netdisaster

Netdisaster, es una web para atacar otros sitios, pero úsala con precuación. Tal y como dicen en su FAQ, su uso es tu responsabilidad. Tambien nos dan la opción para evitar que alguien la utilice en nuestra contra.




¿Vulnerables a XSS, javascript..?, algo más sencillo.
La página objetivo se carga en un frame. La animación, es un archivo .swf cargado dentro de un tag div con el índice z=100. Básicamente crean dos capas, el sitio "vulnerable" como fondo y el div contiene la animación como una capa transparente en primer plano.

4 motivos por los cuales las empresas no son seguras

Los estándares de seguridad están en auge hoy día aquí en España PCI-DSS, estándares como la ISO 27001, y otros más.. No es que vayan a resolver todos tus problemas, pero es una manera de conocer hacia donde se dirige tu organización.

En mi opinión, la mayoría de las organizaciones tienen un gran desconocimiento de los riesgos a los que se enfrentan, sobre todo aquellas con presencia en Internet, desconocen a los que se exponen, así como tambien cual sería el impacto en su negocio, pero... ¿cuales son los problemas a los que se enfrentan?:

1. Administración y gobierno: Toda la bibliografía al respecto indica lo mismo, si el CEO y el consejo de administración de una empresa no tienen la responsabilidad final de la seguridad del negocio, entonces es que no le prestan atención. En este aspecto, las tareas de un consejo de administración preocupado por la seguridad de su empresa serían: asegurar la supervivencia y solidez de la empresa a largo plazo, desde un punto de vista económico, competitivo y organizativo rigiendo principios de transparencia eficiencia colegialidad unidad y división de funciones.

La seguridad es EL problema del director. Los administradores de sistemas e ingenieros de seguridad, serían la herramienta que el director debería utilizar. Los directores tendrían que involucrarse directamente en las decisiones que conlleven riesgo. No necesitan conocer los aspectos técnicos, pero sí que riesgos se están introduciendo o disminuyendo según las acciones de la propia evolución de la empresa. No es decisión del administrador de sistemas donde invertir para mitigar riesgos. Es el director quién debería saber lo que vale en Euros la prevención de un riesgo.
Hoy día, los directores están más preocupados por otras aspectos de la empresa que en esto que estamos hablando.

2. Políticas y estándares: Lo he comentado al principio, los estándares de seguridad y las políticas no son la panacea. Hay que tener una efectiva capa de administración y gobierno para asegurar las buenas prácticas, así como tomar conciencia del entorno corporativo.
Hay que predicar con el ejemplo y nada mejor que aplicarlo en casa.

3. Conciencia del entorno: Llama la atención cuantas organizaciones presumen de ser seguras y de poseer fuertes medidas y controles de seguridad pero no tienen un concepto claro de lo que poseen. ¿Cómo puedes afirmar que tu organización es segura si ni siquiera conoces lo que tienes que proteger?. Rangos de direcciones IPs, sistemas, aplicaciones web, entornos corporativos...

4. Gestión de respuesta a incidentes: Si al final, algo falla, y ocurre un incidente de seguridad (ocurrirá), en el mejor de los casos, la compañía será consciente de lo que les ha pasado, pero si no hay un plan de acción ¿cómo va a responder rápida y efectivamente ante algún imprevisto?

Resumiendo

Puede haber mucha teoría en cuanto a la gestión de la seguridad en una organización, pero en este caso, a diferencia de muchas de las tareas de un administrador de sistemas donde lo que prima es la lógica y el sentido común, aquí hará falta un marco adecuado de medidas y políticas que englobe a todo el personal de la empresa para al final recaer toda la responsabilidad principal o la mayor parte de ella en el director y/o consejo de dirección.

Autenticación 2.0: La red de telefonía como esquema de autentificación remota

Imagina que estás en la web a punto de realizar una transacción importante. Después de hacer login y especificar la transacción, el sitio te presentará una página mostrándote una serie de teléfonos y preguntándote a cual de ellos puedes responder ahora mismo. Cuando seleccionas el número, el sistema crea una llamada telefónica y a los pocos segundos tú teléfono suena. El sistema sincroniza la llamada telefónica con la sesión web (para asegurar que únicamente quién responde la llamada puede completar la transacción), quizá realiza alguna autenticación adicional, y entonces un mensaje a través del teléfono te indica un código de autorización.




Este método es lo que se denomina Autenticación de factor 2, existen otros tipos de autenticación de factor 2, uno de ellos lo conocemos muy bien y lo usamos casi a diario, sí, cuando vas a sacar dinero a un cajero, lo haces mediante una tarjeta de crédito/debito (algo que tienes) y con un pin (algo que conoces). Por otra parte, cuando realizamos una transacción con nuestro banco a través de Internet, lo hacemos mediante el mecanismo más debil de autenticación, usuario/password y sobre la red, pero menos mál que los sitios online de banca utilizan el protcolo seguro HTTPS , el cual no nos sirve de nada si cualquiera tiene nuestros datos de acceso, gracias a los key-loggers, una mirada por encima del hombro o cualquier otro método que no mencionaré. Es por ello que los bancos están obligados a cambiar de esquema de autenticación de sus usuarios si no quieren seguir siendo carne de phising.

Authentify posibilita este tipo de autenticación de 2 factores, pero existen muchos otros tipos como ya he dicho anteriormente pero que los dejo como ejercicio de descubrimiento del lector. ;)

Al fin y al cabo, la red telefónica es una de las mayores infraestructuras que tenemos después de Internet.

Singular presentación de seguridad web

Sí a una presentación de seguridad web le añadimos un toque de originalidad y un escogido diseño obtendremos algo como:

| View | Upload your own

Merece la pena ver la presentación conozcamos o no los términos que en ella se exponen.

Un gran trabajo creativo de Joe Walker.

Nuevas amenazas; Rootkits de navegador. Protégete.

Muy lejos quedan aquellos tiempos en los que los rootkits te daban todo el control de un sistema simplemente parcheando "bajo la sombra" código del kernel.
Los tiempos cambian, y el S.O ha ocupado un segundo lugar dando paso al navegador web como "middleware", es decir, la fuente principal de trabajo de todo usuario hoy en día. Hoy ya no se concibe un ordenador sin navegador web. De ahí, que tambien el navegador web se ha convertido en el principal objetivo a comprometer.



Gran parte de un navegador puede estar escrito en lenguajes de script como Python o Javascript y se apoyan en formatos como XML, RDF, XHTML y más. Diversas tecnologías unidas y con un enfoque completamente diferente al entorno que subyace en el S.O, hacen de los navegadores web, un elemento totalmente aislado de la protección de los más modernos sistemas antivirus actuales.


Los nuevos antivirus y agentes antispyware van a tener un duro trabajo por delante, ya que lenguajes basados en prototipos como javascript pueden mutar facilmente, e incluso XML que es bastante dinámico tiene unas poderosas características polimórficas en conjunción por ejemplo con un simple XSLT.

Si antes los rootkits podían infectar un S.O específico. Hoy día, un rootkit de navegador puede estar en cualquier S.O teniendo en cuenta la propia naturaleza de los navegadores web que son independientes de la plataforma en que se ejecuten, como por ejemplo firefox.

Mientras esperamos a ver como se desarrollan los acontecimientos, dejad en un segundo plano los firewall y antivirus y echar un vistazo a NoScript, si no quereis tener algo más que un susto. Avisados estais.

El pasaporte británico expira a los 10 años, pero el chip a los 2.

Y es que los gobiernos no saben usar la tecnología, al menos en otros países de Europa como Holanda o Reino Unido. No así en España, donde te explican como si de las instrucciones de un móvil se tratara, algunos de los elementos de seguridad del nuevo DNIe.

"Además, el documento incorpora un número único, una clave pública que se asocia al DNI y el titular dispone de una clave privada que se estructura como un código PIN alfanumérico, donde la huella digital actúa como código PUK." Fuente original.

Parece que al final en España algo se hizo medianamente bien, no utilizaron tecnología RFID para el DNIe. Aunque....tiempo al tiempo.

Hacker, éste es tu trabajo ideal

Me embargaba una sensación de total entusiasmo... Trabajaba constantemente días enteros hasta terminar, y era estimulante. Había momentos en que no quería parar [...] La actividad del hacker es tambien gozosa. A menudo se enraíza en exploraciones lúdicas.

"La ética del hacker". Pekka Himanen.

Para seguir adecuadamente esa filosofía es preciso tener (o recuperar) esa actitud de disfrute y pasión. Es preciso que te importe. Necesitas jugar. Tienes que querer explorar. ¿Qué a que viene todo esto?. Corto y pego una oferta de trabajo que he visto y ha llamado mi atención:

-----
Closing Date: 2007-10-26

HACKERS this is the job that will make your day...

I'm a pen-test and research specialist recruiter currently looking to make contact with some of the best hackers in the world...

I'm currently recruitng for positions in 5 countries, and need to find some of the best of the best hackers in the world for my client. The role is client facing and, but NOT a sales role where you're expected to sell add-ons and hit targets. The role is for a REAL TECH-LOVER.
I'm really looking for people, ideally from programming and development backgrounds, with skills across all areas of pen-test including code-audit, network, web-apps, wireless, infrastructure review, VoIP/War Dialling, Protocol level testing, Social Engineering, Reverse engeneering, RFID testing, Database Testing etc etc.

The client will give you 25% of your time for personal research projects, and you WILL be expected to attend global security conferences like Blackhat and Defcon as part of your "keeping up with the trends" research. The role is really as good as it sounds, and it's the kind of thing that really, only the best need apply for.

The role is a truly unique opportunity for some truly unique individuals.

Apply today in total confidence. Your details will be kept totally secret until you are happy with the role and the company i have. Please apply with salary.


JOB REQUIREMENTS
---------------------------------------------------



CONTACT
---------------------------------------------------
call or email

(si quereis los datos pedirmelos personalmente :D )

¿Qué opinais de esta oferta? ¿No os parece realmente interesante?

¿De dónde procede el término O-day de los exploits?

Últimamente se oye mucho sobre 0-day exploits, quicktime con firefox, pdf con windows, google desktop 0day, myspace 0day y tantos mas..

El término 0day se refiere a exploits existentes y en uso para los cuales aún no se ha publicado la vulnerabilidad y por supuesto, no hay parche.

El flujo que se espera en cuanto a la gestión de la seguridad de un administrador de sistemas es el siguiente:

• Grupo de hackers descubren vulnerabilidad. (pasan días)
  
• El fabricante proporciona el parche de seguridad. (pasan meses)
  
• El administrador de sistemas aplica el parche en sus sistemas. (pasan meses)
  
• Aparece el exploit y es explotado por gusanos y script-kiddies o PACHers. (pasan meses)
  
• El administrador de sistemas que no ha parcheado sufre una intrusión y tiene un incidente de seguridad.

Cuando en realidad lo que ocurre con un 0-day exploit es lo siguiente:

• Aparece el exploit y es explotado por gusanos y crackers. (pasan días)
  
• El administrador sufre una intrusión y tiene un incidente de seguridad.

Y como nota curiosa, ¿de donde proviene el término 0-day?

El término 0-day fue acuñado por un ingeniero de seguridad disléxico que escuchaba
mucho a Harry Belafonte mientras trabajaba durante toda la noche y bebiendo ron. :D



vía lísta de seguridad web

PACHers los nuevos script-kiddies

Los script-kiddies han dejado paso a los PACHers (Point and Click Hackers). Si antes se utilizaban aplicaciones como Back Orifice o Netbus entre otras, ahora los PACHers se aprovechan de los MPack para conseguir sus fines. Hay un libro muy entretenido que habla sobre ellos.



Los tiempos cambian, por lo que hay que adaptarse, y los script-kiddies PACHers no son ajenos a ello. Por eso, a parte de MPack será interesante ver que otras herramientas pueden estar utilizando:

SpringenWeek: Scanner de seguridad de Cross Site Scripting, escrito en phyton.

AppScan: Completo software de rastreo de vulnerabilidades web. Versión Comercial.

WebInspect: Scanner de los más completos en los días actuales de la dinámica web 2.0

N-stalker: Scanner de seguridad de HTTP. Con versión comercial.

PACHers, existen mejores maneras de aprovechar el tiempo, si os gusta la investigación de vulnerabilidades, invertid positivamente el tiempo, y colaborad en algún proyecto open source de vuestro interes. Lo agradecereis ambas partes. ;)

756

¿Estas seguro que estas seguro?

La seguridad es una de las principales características que debe tener un administrador de sistemas, le siguen los conocimientos de redes, un pérfil autodidacta infatigable y un conjunto de técnicas de programación y SOs. Al menos ese es el resultado de la última encuesta que hice a lectores de este blog.


No puedo estar más de acuerdo en cuanto a la importancia de la seguridad, por lo que a continuación daré unos cuantos recursos de webs y blogs relacionados con ella que pueden sernos muy útiles en nuestros objetivos y formación, o porque no, tan sólo por diversión;

-Consorcio de seguridad web, clasificaciones de tipos de ataques web existentes con el objetivo de ser un estándar a consultar.
http://www.webappsec.org

- El gurú de la seguridad.
http://www.schneier.com/blog/

- Algo así como un barrapunto de la seguridad
http://www.cgisecurity.com/

- Otro gurú de la seguridad.
http://jeremiahgrossman.blogspot.com/

- No comments. :D
http://ha.ckers.org/blog/

- Múltitud de recursos y proyectos, incluso un capítulo español.
http://www.owasp.org/index.php/Main_Page


Veámos tambien algo de por aquí, que lo hay y muy bueno.

- Seguridad y tecnologías de la información.
http://www.hispasec.com/

- Noticias de seguridad. Aunque hayamos tenido algún "encuentro". ;)
http://www.kriptopolis.org/

- Blog español sobre seguridad.
http://vtroger.blogspot.com/

- Un blog jóven, pero viendo quién está detrás de él, no hay nada más que decir.
http://blog.s21sec.com/

Actualización gracias a corsaria.
- Blog de un auditor de sistemas de un gran banco, aunque no es informático. ;)
Buen blog.
http://www.sahw.com/wp


Espero ver más sugerencias de recursos y blogs sobre seguridad que conozcais.

Tus fotos digitales "modificadas" pueden revelar cosas que no querías

La mayoría de las camaras digitales almacenan información extra, conocida como "metadatos" con tus fotos. Esta información extra capturada por tu cámara, se denomina datos EXIF (Formato de archivo de imagen intercambiable).

La mayoría de software de manipulación de fotos soporta la lectura de esta información, de hecho existen muchas herramientas para la lectura, edición, extracción y conversión de información EXIF. Incluso existe un plugin de visor Exif para firefox.

Todo esto, no lo debía saber RSnake cuando puso la tarjeta de uno de los desarrolladores principales de Mozilla en el post de los 10 putos días. RSnake quiso ser amable, y para ello
oculto el teléfono que venía en la tarjeta con unas líneas blancas, pero alguien lo hackeo con la ayuda de EXIF.


¿Todavía te fiaras de tapar la cara o datos personales cuando muestres alguna foto en tu blog?

El problema de la seguridad EXIF.

Ingeniero de calidad de mozilla: "10 putos días"

Eso es lo que pone, "10 putos días" de forma manuscrita en la tarjeta personal que le dejo Mike Shaver a RSnake como respuesta a los recientes fallos descubiertos en el navegador, todo ello en el fondo de la convención blackhat.

10 putos días es lo que tardarán en corregir los fallos, o eso dicen.

Podeis ver la tarjeta en el post de RSnake.

Pues eso, a esperar 10 días para comprobar si esas reuniones de Blackhat sirven para algo, o sólo para hablar demasiado con exquisitos cócteles en la mano.

EEUU deniega la entrada a un alemán por el material que llevaba para la BlackHat

El propio Dullien lo define en su blog.

En ediciones pasadas de la BlackHat, había hecho presentaciones y su contacto con la organización de la "BlackHat" era individual, no con su compañía. Después de estar más de 4 horas interrogado en Inmigración acerca de sus documentos, quien era y a que se dedicaba exactamente, lo pusieron de vuelta a Alemania sin permitirle la entrada a los EE.UU.

La razón oficial: Es una persona privada participando en la BlackHat, pero al tener su propia compañía en Alemania tenía que haber entrado a los EE.UU como un "empleado de una compañía" y ya fue tarde para cambiar el documento de entrada.

Increible.

4 motivos para NO autentificar por IP

Inexplicablemente hoy en día muchas empresas siguen autentificando recursos y zonas de su web vía IP. Dentro de una intranet como medida preventiva no está de más. Pero autentificar vía IP en Internet tiene delito. Veamos algunos motivos para NO hacerlo:

• La dirección IP se puede spoofear.
• Múltiples usuarios pueden venir desde la misma IP. (NAT, proxys, round-robin con VIP..)
  
• Aunque la IP original se puede sacar de las cabeceras HTTP -cuando se navega con proxy-, en estos entornos generalmente hay una alta disponibilidad que puede dar una dirección IP diferente en cada petición, por lo que tampoco es seguro.
• Restringe accesos, pero no autentifiques.
  

La autentificación se basa principalmente en tres factores:

1. Algo que tienes.
2. Algo que conoces o
3. Algo que tú eres.

o mejor aún, en una combinación de varios de ellos.

Pero la dirección IP falla en (1) alguien más podría tenerla tambien, (2) los demás tambien pueden conocerla -NO es un secreto, y (3) obviamente, pero ¿tú y cuantos más?.

Consejo: Utiliza esta técnica en intranets o pequeños entornos y únicamente para restringir acceso.
En casos donde necesites autentificación sin password, usa certificados para tus usuarios finales.