sábado, 31 de mayo de 2014

Soluciones laboratorios de seguridad (I de III)

El primer laboratorio es algo sencillo ya que son fundamentos sobre los cuales tiene aplicación la seguridad informática. Al hablar de técnicas de seguridad involucramos una serie de elementos que ayudan a mantener la integridad, disponibilidad y confidencialidad de la información, como lo es la utilización de corta fuegos que permitan gestionar el trafico de red así como el conjunto de reglas que restrinja o permita el acceso a determinados servicios.

Los Backup son algo sumamente importante que ninguna organización debe de tener en segundo plano ya que sin esta la continuidad de cualquier negocio se pierde, al tener copias de seguridad debe de existir un protocolo así como políticas que ayuden a realizar este proceso y que no tengas problemas por alguna perdida de información.

Una Zona Desmilitarizada hoy en día es un elemento clave que debe implementarse para tener una red perimetral y que cualquier amenaza o ataque que puedan sufrir los servidores de la organización queden aislados de la red interna de la organización.

Actualización de vulnerabilidades, el hecho de mantener los sistemas actualizados es una medida que te permite mitigar muchas amenazas y que por consecuente, debe tenerse una política que permita llevar un control de dichas actualizaciones, así como establecer un correcto horario para actualizar los sistemas y que no sufras de perdidas en la operatividad.  

La seguridad física es otra técnica que debe implementarse pues ayudan a resguardar los activos de la organización, los elementos que se empleen para esta técnica dependen del tipo de amenaza a los cuales se este expuesto, pues pueden incluir sistemas biometricos de seguridad, cámaras de seguridad, sistemas de enfriamiento, guardias de seguridad, entre otras.

Políticas de seguridad y plan te contingencia, Las políticas de seguridad con el conjunto de normas y estándares que se aplican en una organización, según la necesidad que esta tenga, donde se implementan un conjunto de técnicas de seguridad con el fin de salvaguardar los activos de la organización.

Virus informático, los virus informáticos o malware es todo aquel código malicioso que pretende causar algún daño en un sistema y claro esta en una organización, realizando un espionaje, robo de información, alteración de información, etc.

Criptografía, es la ciencia que se encarga de buscar la confidencialidad en la transmisión de mensajes, de tal forma que estos puedan ser leído únicamente por personas o dispositivo autorizados, valiéndose para esto de un conjunto de sistemas de cifrado y códigos que dejan un mensaje ilegible y puede ser traducido a su forma original con una clave.

Seguridad informática forense, es la encargada de investigar hechos o eventos sucedidos en dispositivos, sistemas, etc., utilizando un conjunto de técnicas y herramientas que permiten identificar cual fue la razón exacta que origino dicho evento.

*********************************************************************************
Soluciones laboratorios de seguridad (I de III)
Soluciones laboratorios de seguridad (II de III)
Soluciones laboratorios de seguridad (III de III)
*********************************************************************************

viernes, 30 de mayo de 2014

Laboratorios curso de seguridad(III de III)

Continuando con esta serie de laboratorios, te dejo este ultimo en el cual es necesario diagramar una red segura, para la cual se deben incluir los elementos descritos que aunque podrían implementarse mas elementos, es un laboratorio que te permite darte una día de como debería de estar tu red, los demás elementos dependen de la operatividad/seguridad y por supuesto de factores económicos así como necesidades de la organización.


Laboratorio 3



DIAGRAME UNA RED SEGURA UTILIZANDO LO SIGUIENTE

  • Balanceador de enlaces.
  • Firewall interno.
  • Firewall internet.
  • DMZ
  • LAN
  • PC
  • Servidores de Aplicación.


Instrucciones: Desarrolle un diagrama a mano o en un software donde se conecten de forma adecuada los dispositivos mencionados anteriormente


Saludos.
Lexer Pars.

*********************************************************************************
Laboratorios curso de seguridad(I de III)
Laboratorios curso de seguridad(II de III)
Laboratorios curso de seguridad(III de III)
*********************************************************************************

jueves, 29 de mayo de 2014

Laboratorios curso de seguridad(II de III)

Hoy me siento mucho mejor, siento como si mi cuerpo hubiera sufrido un update en las defensas, para atacar a los agentes patógenos, aun estoy algo decaído pero en definitiva con mucha mas energía que ayer.  

Estaré descansando un poco mas para recuperarme totalmente y luego te presentare algunos laboratorios prácticos de seguridad así como sus respectivas soluciones.  Si que sin mas te dejo otro laboratorio, sobre temas que hemos abarcado en el blog pero que siempre es bueno tenerlos presentes.

Laboratorio 2
RETOS DE LA SEGURIDAD INFORMÁTICA

La Seguridad Informática se enfrenta a retos como los siguientes:
  • Controlar la navegación de los usuarios.
  • Establecer políticas que regulen el uso de aplicaciones y el acceso a estas.
  • Controlar la fuga de información
  • Sensibilizar a los usuarios de los problemas ligados con la seguridad informática.

Instrucciones: Investigue y describa cada uno de ellos. 



Saludos.
Lexer Pars.

*********************************************************************************
Laboratorios curso de seguridad(I de III)
Laboratorios curso de seguridad(II de III)
Laboratorios curso de seguridad(III de III)
*********************************************************************************

miércoles, 28 de mayo de 2014

Laboratorios curso de seguridad(I de III)

Hoy me encuentro bastante enfermo y no me han obligado a descansar así que debo de dormir muy temprano mas de lo usual que todo buen informático debe, así que te iré compartiendo una serie de laboratorios que recientemente han dejado en el curso de seguridad  en la universidad y luego publicare las soluciones de estos.

Laboratorio 1
CAMPOS DE ACCIÓN DE LA SEGURIDAD INFORMATICA

La Seguridad de Sistemas se divide en varios campos de aplicación, los más destacados son:

  • Técnicas de Seguridad (Firewalls, routers, proxys, DMZ, backups)
  • Actualización de vulnerabilidades.
  • Seguridad Física.
  • Políticas de Seguridad y Plan de Contingencia (Factor Humano)
  • Virus Informática
  • Criptografía
  • Seguridad Informática Forense.




Instrucciones: Investigue y describa los términos anteriores con sus propias palabras.


Saludos.
Lexer Pars.

*********************************************************************************
Laboratorios curso de seguridad(I de III)
Laboratorios curso de seguridad(II de III)
Laboratorios curso de seguridad(III de III)
*********************************************************************************

martes, 27 de mayo de 2014

Localizar direcciones e-mail en servidores PGP KeyServers

Cuando se plantea hacer un test de intrusión a una compañía, una de las pruebas habituales es probar la tolerancia que tiene la organización a ataques dirigidos en modo APT con alguna prueba de phishing. Algo similar a como decía yo que había que probar la seguridad de tu organización para saber si se necesita con urgencia un plan de concienciación interno para el personal y alguna solución de segundo factor. El objetivo es fácil: robar identidades internas para conseguir accesos privilegiados a la red.

Para ello se deben recopilar los posibles objetivos, para lo que hay que buscar las direcciones de correo de las posibles víctimas, que luego se podrán buscar por distintas redes sociales para interactuar con ellos y hacerles el ataque. 

Localizar esos correos puede hacerse de muchas formas, desde usar The Harvester o Maltego para localizarlos en los buscadores, hasta hacer un spidering & crawling al sitio para localizar las direcciones de correo electrónico publicadas en la web, pasando por buscar en las bases de datos de identidades dumpeadas, revisando con la FOCA para extraerlos de los metadatos o en los lugares de configuración well-know, como los registros SOA del DNS, los datos en los Certificados Digitales o lainformación histórica de las entradas de Whois. Todo vale para localizar datos.

Figura 1: Correos electrónicos de fbi.gov localizados por Maltego

Una de las cosas que se pueden utilizar también son los servidores de claves públicasPGP. Si una persona está utilizando PGP (Pretty Good Privacy) para firmar y/o cifrar sus correos es necesario que comparta su clave pública PGP para que alguien pueda cifrar el contenido del mensaje con ella y garantizar que sólo él puede ver el contenido.

Para que sea fácil la distribución de claves públicas PGP se crean servidores de claves públicas llamados KeyServers que pueden ser consultados con clientes para hacer búsquedas. Estos servidores se montan en las organizaciones normalmente en el puerto 11371, así que un sencillo escaneo de puertos nmap en la red por ese puerto debería dejarte localizarlos.

Lo bueno es que también hay servidores de claves PGP públicas que funcionan vía web, desde que se publicó OpenPGP HTTP Key Server en el MIT, que permiten hacer búsquedas usando comodines. Así, si la clave es pública, puedes buscar direcciones de correo de cualquier organización.

Figura 2: El servidor OpenPGP del MIT

Algunas de esas claves son creadas y publicadas con cierto trolleo, porque al buscar las del FBI me han salido algunos resultados, que parecen cuanto menos sospechosos de haber sido inyectados como claves fake. Al final uno se crea el certificado digital que quiere y lo distribuye, incluso sin tener que ser suya la dirección de correo electrónico.

Figura 3: Resultados obtenidos al buscar fbi.gov

Este servidor del MIT no es el único, en España hay un servidor de claves PGP públicas en RedIris que también puede usarse para buscar datos en los certificados públicos PGP de, especialmente, dominios de la universidad.
Figura 4: Servidor de claves PGP públicas en RedIris

También tiene un servidor de claves públicas PGP el propio dominio de PGP.comdonde aparecen otras bases de datos. Recordar que PGP es un software comercial también, y es quién ofrece este servidor.

Figura 5: Servidor de claves PGP públicas en PGP.com

Buscando por Internet pueden aparecer más servicios de claves públicas PGP en la web, como este que está en Alemania. Al final, cualquier pieza de información puede ser útil en un ataque, y nosotros en nuestro sistema de pentestig persistente Faast - que también cuida de que no se caduquen los certificados digitales como el gran FAIL que le ha pasado a Apple - buscamos en todos ellos para poder el mayor número posible de información a la hora de lanzar los plugins de pentesting contra los servicios.


fuente: http://www.elladodelmal.com/2014/05/localizar-direcciones-e-mail-en.html

Saludos.
Lexer Pars.

lunes, 26 de mayo de 2014

Planifica los horarios del update

Como ya sabes las actualizaciones sobre los distintos productos de software y hardware son constantes a causa de las distintas fallas que suelen encontrarse en estos, sean sistemas operativos, programas de ofimática, software para pentesting, software empresarial, etc. 

Las actualizaciones o updates son una fuente importante en la mitigacion de amenazas y debe existir una política que gobierne los procedimientos que deben seguirse para mantener todos los sistemas y demás aplicativos actualizados. Cuando no se tiene una política pueden encontrarse muchos problemas de seguridad en la organización e incluso esta política debería practicarse con usuarios domésticos que en su mayoría prefieren evitar las actualizaciones.

Hoy un amigo me ha dicho que tenia algunos problemas de seguridad ya que el ordenador tenia un troyano instalado, tras revisar el ordenador encontré gran parte del sistema y aplicativos des actualizados y bueno mi amigo necesitaba trabajar en el ordenador lo mas pronto posible pero antes quería solucionar este problema.  

Actualizamos el antivirus y desinfectamos el ordenador, tras esto empece a darle un mantenimiento mas a fondo al ordenador pero una sorpresa desagradable fue al momento de aplicar las actualizaciones al ordenador con Windows 8, el cual nos dejo literalmente 4 horas de espera y sin dar respuesta de vida.

Mensaje mostrado por 4 horas

Como el horario no era nada flexible para el, ni para mi, decidimos apagar el ordenador y prenderlo de nuevo y después de esto esperamos a que el ordenador arrancara.

Mensaje de error en las configuraciones.

Luego de esto elaboramos una política de update a nivel domestica que podía seguir, para evitar futuros problemas de agujeros de seguridad y una disminución en la operatividad que es algo muy importante a tener en cuenta. Los horarios en que se apliquen actualizaciones deben ser en los cuales los sistemas tengas menos carga de trabajo y asegurarse de tener redundancia en los servidores en el caso de de las organizaciones, así como tener un sistema que les permita monitorear las actualizaciones de todos los ordenadores como logmein, el cual incorpora esta solución entre los servicios que brinda.

Saludos.
Lexer Pars.

domingo, 25 de mayo de 2014

Usb Rubber Ducky

Hoy vamos a ver una herramienta para realizar hacking a través de un hardware. No vamos a hackear un hardware, si no que vamos a utilizar un hardware para hackear. De lo que estoy hablando es de Usb Rubber Ducky. ¿Que es? Pues es un pequeño procesador dentro de un USB que emula ser un teclado de tal forma que cuando los pinchas en un PC, este lo reconoce como un teclado.¿Y para que nos puede servir? Pues imagina todo lo que podrias hacer en un PC solo con el teclado (sin ratón), la verdad que sabiendo manejar un poco la consola y powershell, creo que no hay limites.
Se compra en la tienda de Hak5. Aqui podemos ver que hay varios modelos.
Sin título
El primero es el que yo he comprado, que es el mismo que el segundo, que aunque en el nombre venga la palabra “Exfiltrator”, la unica diferencia es que con este segundo te viene un pendrive con el logo de Hak5 para poder realizar extracción de archivos de un PC. La tercera imagen te venden un pack de 3, y en la cuarta te venden 10. Una vez lo compras, te llega de la siguiente manera.
ducky1
Y una vez abierto tienes lo siguiente.
ducky2
Iré explicando de izquierda a derecha. Lo primero es un adaptador de USB estandar a USB tipo micro-B, para cuando tengamos un dispositivo al que se le pueda conectar un teclado por un puerto de este tipo. Lo siguiente es un lector de tarjetas micro USB que se conecta al ordenador por el puerto USB estandar. A continuación tenemos la joya de la corona, nuestro querido Usb Rubber Ducky. Como podemos apreciar es un procesador que se conecta por USB al ordenador. Si le damos la vuelta por el otro lado vemos que tiene un lector de tarjetas micro USB integrado que será donde le metamos los payloads con los scripts que vayamos a ejecutar. Se puede ver en la foto de la cartulina que hay debajo de las piezas, en la parte de abajo a la derecha. Las siguientes dos piezas son la carcasa de nuestro juguete, que cuando lo cierras parece un USB normal y corriente. Y por ultimo tenemos la chapita del tipico USB que tienes que rotarla para “destaparlo”, y que también sirve como llavero.
Para mi sorpresa te viene ya con un payload de ejemplo, que lo unico que hace es escribir una frase. Es decir, que para que funcione correctamente deberemos de tener abierto un editor de texto, y cuando conectas el Ducky al ordenador, podrás ver como empieza a escribir como por arte de magia en el editor de texto.
ducky3
Mi duda ahora era si sería detectado de alguna manera por las herramientas de seguridad. Te lo venden como que no es detectado, pero hasta que no hiciese la prueba no me iba a quedar tranquilo con mi compra. Activé el AVAST (ya que para la primera prueba estaba desactivado) y los resultados fueron los siguientes.
duck4
Indetectable!
Pues esto ha sido mi primera toma de contacto con Ducky, ya os iré contando como crear payloads y la gran comunidad que hay alrededor, en donde ya hay desarrollados una gran cantidad de payloads.
Saludos.
Lexer Pars.

sábado, 24 de mayo de 2014

Cuidado con tus datos la web nos vigila?

Cada día navegamos en Internet pero no sin tomar en cuenta los riesgos que existen de la información que compartimos. El termino privacidad es solo algo relativo y que en definitiva no puede alcanzarse en su totalidad y al final siempre existe una huella digital que dejas en Internet y que nos identifica de manera única. 

Quiero dejarte un documental al respecto que esta mas que interesante, pues es una problemática irremediable que se sufren con las comunicaciones hoy en día. 


Documental

Saludos.
Lexer Pars.

viernes, 23 de mayo de 2014

Red troncal o backbone

La palabra backbone hace referencia a las conexiones troncales de Internet, es decir son los enlaces entre proveedores y puntos de peering, aunque también se utiliza este termino para hacer referencia a cableado troncal o subsistema vertical en una instalación de red de área local que sigue la normativa del cableado estructurado.

Las redes troncales de Internet son implementadas por los ISP y la utilidad de estas es interconectarse con otros ISP, así como proporcionar los servicios de dicha interconexion a un conjunto de clientes.

Cuando se habla de una red troncal o backbone en una LAN, hay un conjunto de elementos que contemplan la integración de esta, para ello se puede utilizar el modelo de redes jerárquicas.

Modelo de redes jerárquicas.

Dicho modelo establece tres niveles o capas con funciones especificas:
  • Núcleo: La Capa Núcleo es la espina dorsal (backbone) de alta velocidad de la red.La Capa Núcleo permite la interconectividad entre los dispositivos de la capa de distribución y la conexión a los recursos de Internet. Aquí se encuentran switches de capa 3 y routers. En redes más pequeñas no es inusual que se implemente un modelo de núcleo colapsado en el que se combinan la Capa de Distribución y la Capa Núcleo en una sola capa.
  • Distribución: La Capa de Distribución agrega los datos recibidos de los switches de la Capa de Acceso antes de que se transmitan a la Capa Núcleo para el enrutamiento hacia su destino final. La Capa de Distribución controla el flujo de tráfico de la red mediante el uso de políticas y segmenta la red en dominios de broadcast mediante el uso de LAN virtuales (VLAN).Los switches de la Capa de Distribución normalmente trabajan en las Capas 2 y 3 del Modelo OSI.
  • Acceso: La Capa de Acceso aporta un medio de conexión de los dispositivos finales (PCs, impresoras y teléfonos IP) a la red y controla qué dispositivos pueden comunicarse. La Capa de Acceso puede incluir routers, switches, puentes, hubs y puntos de acceso inalámbricos. Hoy en día los dispositivos más comunes en esta capa son los switches y los puntos de acceso inalámbricos.
Saludos.
Lexer Pars.

jueves, 22 de mayo de 2014

Analisis informatico forense en la nube

Hoy quiero compartirte una conferencia que me ha parecido muy interesante que trata sobre el análisis forense en la nube en la cual para mucho el tema de la nube aun va algo liado, en verdad es vital conocer la seguridad en mayor tipo de infraestructuras, ya que uno nunca sabe con que retos informáticos se enfrentara el próximo día.



Analisis forense en la nube.

Saludos.
Lexer Pars.

miércoles, 21 de mayo de 2014

Robo de identidad, ataques en redes sociales

Cada día las personas usan mas y mas las redes sociales y como siempre se ha dicho, es necesario tomar muy en serio que tipo de información y cuanta información se divulga en estas redes sociales, pues si no se tiene conciencia de esto toda esta información puede ser utilizada para delinquir y ser usada en tu contra.

Quiero compartirte un video que trata sobre el tema y si tienes el problema de no controlar toda la información que compartes quizá esto te ayude a tomar conciencia de ello.   



Robo de identidad.

Saludos.
Lexer Pars.

martes, 20 de mayo de 2014

Exiftool

Como ya sabes el tema de los metadatos es algo que siempre ha dado de que hablar, pues muchas veces este tipo de información no se suele gestionar de forma adecuada y al final se termina brindando información comprometedora.

Una herramienta muy útil al momento de obtener esta información es Exiftool, con la cual podemos realizar dicho proceso, el programa soporta diversos formatos como los son JPEG, PNG, MP3, PDF, WEBM, RAR, RTF, SWF, PDF, etc. Ademas de obtener la información se puede modificar esta es decir crear nuevos metadatos sobre un fichero en concreto.  

 Sintaxis de Exiftool.

La sintaxis de este software es exiftool [parametro] [fichero]  aunque puedes obtener la información con colocar exiftool [fichero]. El software puede ser utilizado en diversas plataformas ya que esta construido sobre perl, es una buena opción para analizar tus ficheros en busca de posibles fugas de información no gestionadas.

Saludos.
Lexer Pars.

lunes, 19 de mayo de 2014

Sistemas operativos para pentesting

Al momento de realizar pruebas de seguridad siempre es necesario contar con un arsenal de herramientas que te ayuden a evaluar los distintos sistemas y servicios que una organización tiene, así como otros activos de esta. Aunque hay muchas herramientas hoy en día existen ya diversos sistemas operativos que son desarrollados exclusivamente para estas tareas con lo son:

1.Bugtraq
Bugtraq es una distribución basada en GNU / Linux orientada a la informática forense , pruebas de penetración, malware laboratorios, y Forense GSM. Esta distribución tiene una amplia gama de herramientas de penetración , forenses y de laboratorio. Bugtraq está disponible con XFCE , Gnome y KDE basado en Ubuntu , Debian y openSUSE .
2.Parrot -sec OS Forense
OS Seguridad Parrot es un avanzado sistema operativo desarrollado por Frozenbox Red y diseñado para realizar pruebas de seguridad y de penetración , hacer analisis forenses o actuar en el anonimato .
3.BackBox
BackBox es una prueba de penetración de la distribución de Linux basada en Ubuntu y evaluación de la seguridad orientada a proporcionar una red informática y análisis de sistemas de juego de herramientas . Entorno de escritorio BackBox incluye un conjunto mínimo pero completo de herramientas necesarias para el hacking ético y pruebas de seguridad .
4.GnackTrack
GnackTrack es un proyecto abierto y libre para combinar herramientas de pruebas de penetración y el escritorio Gnome de Linux. Es una distribución Linux Live ( e instalable ) diseñado para pruebas de penetración y se basa en Ubuntu.
5.DEFT
DEFT es un Live CD incorporado en la parte superior de Xubuntu con herramientas para la informática forense y respuesta a incidentes. Es un sistema en vivo muy ligero y rápido creado por los especialistas de Informática Forense .
6.NodeZero Linux
NodeZero Linux es confiable , estable y potente. Sobre la base de la industria líder en la distribución de linux Ubuntu, Linux NodeZero toma toda la estabilidad y la fiabilidad que se obtiene con el modelo de soporte a largo plazo de Ubuntu, y su poder viene de las herramientas configuradas para vivir cómodamente en el medio ambiente.
7.Pentoo
Pentoo es un livecd centrada en la seguridad basada en Gentoo. Se trata básicamente de una instalación de Gentoo con un montón de herramientas personalizadas , núcleo personalizado , y mucho más .
8.Kali Linux
Kali Linux es una distribución Linux derivada de Debian diseñado para la informática forense y pruebas de penetración . Se entrega con numerosos programas de pruebas de penetración , incluyendo nmap , Wireshark , John the Ripper y Aircrack -ng .


Fuente

En lo personal he utilizado solo algunos de estos, pero el con el que me siento mas cómodo al momento de auditar es Kali linux, pero al final es cuestión de adaptarse según se la necesidad requerida.     

Saludos.
Lexer Pars.

domingo, 18 de mayo de 2014

Nada es lo que parece(cine)

Hoy como es Domingo y aprovechando que hay algo de tiempo libre para descansar me he decido por ver una película basada en hechos reales sobre un grupo de hackers alemanes que vendían información al KGB en la guerra fría, definitivamente es una película clásica que no puedes dejar de ver.


Nada es lo que parece

Saludos.
Lexer Pars.

sábado, 17 de mayo de 2014

Quiero ser un hacker?

Esta pregunta ya me la han realizado muchas veces y por desgracia la ciencia ficción y la onda mediática han hecho que exista una desviación de la realidad que esto con lleva. Pues dedicarse al hacking no es utilizar un programa con el cual dominaras el ciber mundo, algún truco y cosas que suelen aprenderse muy sencilla.

El hacking es una pasión que debes cultivar, pues aunque se nace con ciertas cualidades, es necesario desarrollarlas y esto se logra con mucho tiempo, en el que debes aprender de todo, estudiando como funcionan los sistemas operativos, aprender a programar, aprende como funcionan las redes y telecomunicaciones, criptografía, análisis forense, ingeniería inversa.

Son tantas las áreas que abarca que al final no puedes especializarte en todas, el hecho es que requiere de mucho tiempo y dedicación, es algo que debes practicar y aprender todos los días, y no algo que se logre de la noche al día siguiente e implica ser autodidactas en muchas ocasiones.

Debes dejar de un lado muchas cosas como los juegos, salir con los amigos y hacer muchas actividades que te gusten por practicar el hacking, tampoco es cuestión de aislarse, ya que hay quienes pintan las cosas de esta forma, pero tampoco deberías de llegar a este extremo, recuerda que hay que tener un balance en la vida y las cosas que hacemos.

Siempre se empieza por algo, si eres nuevo en este mundo no te desesperes que poco a poco se adquiere experiencia y claro puedes optar a llevar un curso o certificación de seguridad que pueda ayudarte a especializarte. Pero no en definitiva nunca te hagas la idea de que aprenderás en un corto lapso de tiempo pues es una idea errónea que lleva a muchos al fracaso, ten paciencia y practica mucho.

Saludos.
Lexer Pars.

viernes, 16 de mayo de 2014

Back doors

La puertas traseras son accesos a sistemas utilizados por intrusos, bajo los cuales el usuario no tiene conocimiento de esta. Generalmente estas puertas traseras son utilizadas contra usuarios de internet y muy pocas veces utilizados en redes local. Estas puertas traseras pueden ser programas como instalar el famoso y muy pero muy viejo Back Orifice el cual permite administrar un ordenador de forma remota, permitiendo realizar acciones como copiar archivos, cambiar configuraciones, enviar mensajes, etc.

Back Orifice
 
También están las puertas traseras encontradas en sistemas o software de distintos proveedores, ya sea por descuidos en muchas ocasiones y en otras dejadas a propósito con el fin de explotarlas en un futuro y estas son mas peligrosas que las anteriores, ya que hay que tener cuidado al momento de tener alguna, detectándola de forma pronta. Como el famoso Smile de la muerte en vsftpd 2.3.4.
 
 
vsftpd 2.3.4
 
Para las puertas traseras en la cual es necesario que el atacante instale software para tener acceso, unas medidas ha aplicar son la instalación de un buen sistema antimalware y un conjunto de reglas bien definidas en un corta fuegos, mientras que para las segundas en la cual existe una falla o bug, queda estar con una buena política de actualización de software que te permita mitigar estas vulnerabilidades lo mas pronto posible.
 
Saludos.
Lexer Pars. 

jueves, 15 de mayo de 2014

AccelPrint: Huella digital de acelerómetro en smartphones

Una de las cosas que más me llaman la atención son las técnicas de fingerprinting del dispositivo. Esos pequeños detalles que pueden ser utilizados para generar la huella digital de una conexión a Internet y poder después seguir las actividades de esa huella digital por toda la red y saber dónde y qué ha estado haciendo esa persona en contra de cualquier medida de privacidad que pudiera tenerse.

Normalmente esas huellas digitales se suelen generar a través del navegador de Internet, por lo que suelen conocer como WebBrowsing Fingerprinting. Sin embargo, muchas de las conexiones que se realizan contra servicios en Internet ya no se hacen mediante el navegador y por el contrario se hacen desde apps instaladas en el terminal smartphone del cliente, por lo que la mayoría de las técnicas de WebBrwosing Fingerprinting dejan de tener utilidad y hay que pensar en nuevas formas de hacer esa verificación de la huella a través de las apps y el smartphone.

La forma más evidente es usar los identificadores únicos de los terminales, tales como el UDID en los dispositivos Apple, el IMEI, o los ICC_ID. Pero como es conocido que pedir esos datos atentaría contra la privacidad de los usuarios del dispositivo, los sistemas operativos iOS de Apple o Android de Google tienen bloqueado por permisos el acceso a esos datos. En Apple, incluso, si se descubre que una app intenta acceder al UDID automáticamente se prohibe su publicación y se retira de la App Store, ya que esos datos - que alguna vez han sido filtrados - pueden ser utilizados para crear un provisioning profile con un troyano dirigido a un terminal concreto.

Pero como siempre, el estudio y el conocimiento avanza, e investigadores de las Universidades de Illionis, South Carolina y Zhejiang han publicado un curioso trabajo, titulado: "AccelPrint: Imperfections of Accelerometers Make Smartphones Trackable" que busca hacer la huella digital de un smartphone basándose en las imperfecciones que tienen los acelerómetros de los dispositivos.

Figura 1: AccelPrint, o como seguir smartphones por sus acelerómetros

Los acelerómetros ya han sido protagonistas indiscutibles en otros trabajos de seguridad, como side channel para hacer de keylogger analizando las mediciones que se obtienen por medio de las vibraciones o usando el acelerómetro para robar el PIN o el patrón de acceso de un smartphone midiendo los movimientos en los ejes y usando machine learning. Si te gustan estos  temas, tampoco debe faltar la lectura del trabajo de Pin Skimmer que analiza los movimientos tomando fotografías. Incluso la propia Apple ha patentado utilizar el acelerómetro para detectar robos, y el CEO de Amazon lo patentó para detectar caídas y sacar un airbag.

Figura 2: El airbag para teléfonos móviles patentado
La idea de este trabajo en concreto es que, aunque los sistemas puedan bloquear el acceso al UDID, IMEI o ICC_ID, las apps no necesitan pedir permiso especial para acceder a los valores del acelerómetro y se pueden hacer mediciones de situaciones conocidas para conocer la huella digital, lo que permitiría a cualquier app saber cuándo un usuario se está conectando desde un dispositivo distinto, lo que podría significar simplemente un cambio de terminal o el robo de la credencial por parte de un atacante.

Figura 3: Acceder al IMEI, UDID o ICC_ID está prohibido, pero las apps acceden al acelerómetro

Los valores que se obtienen de un acelerómetro no solo tienen que ver con el movimiento que se le dé, sino que afectan también valores como la carga del sistema operativo, el montaje del terminal, la carcasa protectora que se le pueda poner al dispositivo y, como no, las pequeñas imperfecciones que de fábrica puedan traer los chips. Saber el chip que hay instalado en algún dispositivo a veces es evidente, pues como paso en iPhone, un cambio de acelerómetro hizo que fallaran muchas apps instaladas en el sistema.

Para poder comprobar si era posible generar esa huella digital, los investigadores hicieron primero unas pruebas con los modelos de acelerómetros más comunes integrados en terminales iPhone, Samsung, etcétera, en un entorno sintético controlado con una placa Arduino, y después con un sistema de movimiento controlado también por un Arduino medir los valores que entregan los distintos acelerómetros para saber si es posible medir o no variaciones en ellos y hacer una huella digital.

Figura 4: A la izquierda la medición sintética a la derecha la medición en real

Al final, las mediciones recibidas de seis acelerómetros, tratadas con un sistema de clasificación de datos para generar conjuntos descritos por un centro y un radio de dispersión que dejan a las claras cómo es posible reconocer cada uno de ellos en las diferentes mediciones.

Figura 5: Caracterización de los conjuntos de datos por diferentes acelerómetros

La exactitud de las huellas digitales de los acelerómetros tiene puntos que solventar para poder automatizar un proceso de creación, pero si el cambio entre dispositivos muy diferentes en tamaño, carcasa, cargas y modelos, podría permitir saber si es el mismo en el que estaba antes el usuario de la app o no.

Por supuesto, a medida que mejoren las pruebas y se complementen el número de características que se midan a nivel de dispositivo, se acabará consiguiendo un conjunto de características similares al WebBrwosing Fingerprinting, para tener un Device Fingerprinting basado en apps.
 
 
Saludos.
Lexer Pars.

miércoles, 14 de mayo de 2014

Eavesdropping

Este un ataque de red, en el cual se busca capturar de forma pasiva el trafico de red, sin alterar o modificar dicho trafico. Para realizar este ataque es necesario utilizar algún Sniffers para monitorear los paquetes que se emiten y se reciben en un red. Estos Sniffers pueden ser instalados en estaciones de trabajo, Router o Gateway.
 
Cada maquina conectada a la red mediante una placa con una dirección física única verifica la dirección destino de los paquetes TCP. Si las direcciones son las mismas se asume que el paquete enviado es para ella, de lo contrario se libera el paquete para que otras placas lo analicen.
Los Sniffers colocan la placa de red en un modo llamado promiscuo, el cual desactiva el filtro de verificación de direcciones y por lo cual todos los paquetes enviados a la red llegan a esta placa donde se encuentra alojado el Sniffer.
 
En la actualidad existen una gran gama de software que permiten hacer este tipo de ataques, algunos son detectados de forma fácil y otros suelen llevar mucho mas tiempo en su identificación, te dejo un video de un ataque y su detección.
 
Eavesdropping sobre VozIP
 
Saludos.
Lexer Pars.

martes, 13 de mayo de 2014

Los retos de la ciberseguridad

El teléfono móvil, el ordenador, Internet, las redes sociales se han convertido en compañeros inseparables de nuestras vidas. Aunque la concienciación todavía es más bien escasa, existen muchos riesgos derivados del uso de estas tecnologías que habría que tener en cuenta. Sin ir más lejos, los aspectos de seguridad de redes son vitales para el éxito y la estabilidad de los negocios y las organizaciones. La UNED ha publicado el libro "Procesos y herramientas para la seguridad de redes", una guía que presenta las orientaciones básicas que requiere el alumno para el estudio de la asignatura Procesos y Herramientas de Gestión de la Seguridad de Redes. Pero también un compendio de los aspectos más fundamentales de la ciberseguridad, que puede servir como herramienta para particulares y organizaciones.
Los retos de la ciberseguridad.
 
Saludos.
Lexer Pars.



lunes, 12 de mayo de 2014

Modelo STRIDE de Microsoft

Al momento de identificar amenazas a la seguridad es bueno tener en cuenta que tipos de amenazas pueden presentarse y a que activos puede afectar así como el nivel de impacto que esta tendrá en el caso de que pueda materializarse. El modelo STRIDE establece un marco que ayuda a identificar amenazas como: Suplantación de identidad, manipulación de datos, repudio, divulgación de información, denegación de servicio y elevación de privilegios.

 Tipos de Amenaza STRIDE.
 
  1. La suplantación de identidad, es la capacidad que tiene una persona o dispositivo para acceder a recursos que han sido autorizados para otra persona o dispositivo, utilizando técnicas de engaño técnicas o sociables.
  2. La alteración de datos, es la modificación de información, como por ejemplo un ataque de session hijacking, o alterar datos en una transmisión, etc.
  3. El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de repudio sería que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.
  4. La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se le ha otorgado acceso.
  5. Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consistiría en dejar un sitio Web inaccesible al inundarlo con una cantidad masiva de solicitudes HTTP.
  6. La elevación de privilegios es el proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello, puede explotarse una debilidad del software o usar las credenciales de forma ilegítima.

Saludos.
Lexer Pars.



domingo, 11 de mayo de 2014

Solucionando errores en Windows 8

Hoy tras levantarme después de un merecido descanso, estaba por empezar a organizar todas las actividades de esta semana y algunos proyectos que tengo que realizar, cuando al prender mi ordenador un fantástico e inexplicable error en el sistema. Seguro que mas de alguno pensara, Oh! es Windows, venga esa mierda no sirve y siempre te da fallas.  Pero al final ningún sistema es perfecto y libre de errores.
 
El asunto es que me pareció muy raro, ya que administro bien el sistema, tomando muy en serio las medidas de seguridad, tras varios intentos de solucionar el problema, cabe mencionar que el sistema es Windows 8 y como sabrán este sistema cuenta con nuevas medidas de protección, el asunto es que no me permitía "reparar el fallo", ni "restaurar el ordenador a un punto anterior", la única solución que me ofrecía como valida era restaurar el ordenador perdiendo los archivos, aunque claro, con un live cd, esto es una solución sencilla.
 
Después de varias horas de investigar, utilizando sfc/scannow, que es una herramienta para comprobar   de archivos de sistema y reparar los archivos dañados o que faltan logre solucionar este problema algo fastidioso, pero que al final, aunque me consumió algo de tiempo y me tomo por sorpresa todo a quedado solucionado.
 
Saludos.
Lexer Pars.

sábado, 10 de mayo de 2014

Dia de examen!

Antes del examen:
Hoy vengo después de una semana abrumadora llena de conflictos mentales y cansancio a un examen en la universidad sobre Telecomunicaciones, que seguramente será difícil y que en verdad será confuso por la forma de evaluar del catedrático, pero por sobre de todo lo anterior lo que mas anhelo en estos momentos es poder ir a dormir y dejar por un momento todo.
 
Después del examen:
No me fue nada mal, pensé que el examen seria una total pesadilla, pero no lo ha sido, ahora me resta llegar a casa he irme a descansar y prepararme el día Domingo pues tengo ya algunos planes que debo de afinar y que incluiré en el blog, además de escribir algunos post que tengo pendientes en el blog de bases de datos que escribo.
 
Así que sin nada mas que agregar me iré disfrutando de un paisaje y después por fin podre descansar un poco.
 
Saludos.
Lexer Pars.  

viernes, 9 de mayo de 2014

¿Qué debo hacer para aprender Seguridad Informática?

Acá te dejo una serie de tips muy interesantes e importantes que deberías de tomar en cuenta si quieres aprender e iniciarte en el mundo de la seguridad, que si bien son solo los primeros pasos a dar te brindan una referencia de por donde va todo este mundo.
 
 

Aprender seguridad informática.
 
 
Saludos.
Lexer Pars.

jueves, 8 de mayo de 2014

¿Cómo es el hacking ético? Un pequeño ejemplo con la web de la PNP

Con todo esto de la universidad y etapas por las que se pasa en este mundo hoy te vengo a dejar uno ejemplos brindados por el hacker Chema Alonso, en el cual puedes apreciar como utilizando la herramienta FOCA, puede realizarse este proceso y ejemplificación de lo que es el hacking ético. 




Hacking ético.
 
 
Saludos.
Lexer Pars.

miércoles, 7 de mayo de 2014

Un serio fallo en Dropbox expone tus carpetas privadas

En un post de su blog, DropBox ha publicado el fallo de seguridad que le ha llevado a cerrar temporalmente el servicio de compartición de carpetas de forma "Secreta" entre usuarios debido a un par de fallos de seguridad que podrían dejar expuestas todas las cosas que se comparten por Dropbox.
.
Figura 1: 1.510.000 URLs de Dropbox indexadas en Google
Lo cierto es que la compartición de carpetas Dropbox se basa en que alguien conozca la URL o no, lo que lleva a que si por casualidad, o por una fuga de información, esa URL cae en manos de terceros, toda la privacidad se fue al garete. De hecho, a mí me sorprendía la cantidad de URLs de carpetas de Dropbox que estaban indexadas en Google por una mala configuración de las etiquetas de indexación en el servicio, que a día de hoy todavía tiene 1.510.000 URLs de carpetas al alcance de cualquiera.



Figura 2: Dropbox ha deshabilitado muchos de los Shared Links

En este caso Dropbox ha reconocido que hay dos situaciones en las que el enlace acaba haciéndose público y ha deshabilitado muchos de los enlaces y cambiado la forma de crear esos enlaces. Estas son las dos situaciones que describe en su post donde podrían quedar expuestos los enlaces.

Situación 1:

Esta es la situación principal por la que se ha cambiado el sistema y que estaba siendo aprovechada por mucha gente.

- Alguien comparte un carpeta en la que hay un documento, por ejemplo un PDF.
- La persona que recibe en el enlace de la carpeta abre el documento PDF desde la URL compartida.
- En el documento PDF hay un enlace que lleva a www.elladodelmal.com
- En las estadísticas de www.elladodelmal.com aparece la URL de la carpeta compartida en Dropbox.

En mi caso, como en el de millones y millones de sitios de Internet, las estadísticas de www.elladodelmal.com son públicas, y pueden ser indexadas por cualquier buscador, por lo que la URL no solo cae en unas estadísticas privadas, sino que queda expuesta a todo Internet, siendo una causa más de ese 1.510.000 URLs indexadas en Google. En la siguiente imagen se ven los campos HTTP-Referer donde caen las URLs de los Shared Links de DropBox.

Figura 3: Campos HTTP Referer en las estadísticas públicas de El lado del mal

Situación 2:

La situación 2 es más curiosa y divertida. Consiste en que alguien pone la URL de la carpeta privada de Dropbox en el cuadro de búsqueda de Google en lugar de en la barra de direcciones del navegador. ¿Quién no ha buscado sin querer una URL alguna vez en su vida?
Figura 4: Búsqueda de una URL de Dropbox que acabará en los anunciantes
Pues bien, en ese caso la URL es pasada a los anunciantes, así que todos ellos pueden hacer una búsqueda en sus logs para localizar URLs del tipo dropbox.com/s/* y ver qué ha sido buscado por allí.

Para terminar

Evidentemente utilizar la URL como forma de protección para compartir documentos de forma secreta no es lo más recomendable ya que al final podría llegar a acabar en manos de cualquiera que hiciera hacking con buscadores. Si haces un uso extensivo de Dropbox tal vez deberías pensar en soluciones de compartición de documentos de forma protegida. Hay hasta soluciones como Prot-ON que permiten aplicar políticas de seguridad a documentos compartidos de forma pública.

 
Figura 5: Funcionamiento de Prot-ON

Por supuesto, Dropbox debería hacer algunas cosas más para evitar esta indexación masiva de documentos de sus clientes, ya que dependiendo de muchos factores el número de situaciones que pueden darse para que la URL acabe expuesta son muchas. Por eso sería recomendable que DropBox se encargara de:
1) Borrar todas las URLs que están indexadas en los buscadores. No solo el 1.510.000 indexadas en Google, sino las que haya también en Bing donde hay 68.500. No sea que se le olvide como al equipo de Gmail y se deje allí esas URLs. 
Figura 6: URLs indexadas en Bing
2) Aplicar la etiqueta Meta HTML NoIndex y NoCache para evitar que el código HTML sea indexado. 
3) Poner en las cabeceras de sus servidores web la X-Tag-NoIndex para evitar que se indexen URLs de cualquier otro contenido, como fotos o documentos comprimidos.
Fuente.

Saludos.
Lexer Pars.