viernes, 28 de febrero de 2014

¿Qué son los protocolos en informática y telecomunicaciones? (III de III)

La arquitectura de los protocolos permite que exista comunicación entre dispositivos, basándose en capas de funciones que intercambian información, las capas pares de comunican intercambiando bloques de datos que verifican una serie de reglas o convenciones, a las cuales se denomina protocolo.  Que como ya hemos visto los 3 factores claves que definen un protocolo son:
  • La sintaxis establece cuestiones relacionadas con el formato de bloques de datos.
  • La semántica, incluye información de control para la coordinación y gestión de errores.
  • La Temporización, es la encargada de la sintonización de velocidades y secuenciación. 
Cuando dos dispositivos quieren entablar una comunicaciones se deben de realizar cuatro tareas primordiales:
  1. La fuente de activar algún camino directo de datos o debe proporcionar a la red de comunicación el destino con el cual se comunicara.
  2. La fuente debe verificar que el sistema destino esta preparado para recibir datos.
  3. El sistema o aplicación que transmitirá desde la fuente, debe garantizar que el sistema o aplicación en el destino esta disponible y listo para procesar y almacenar la información.
  4. Si los formatos de los dos archivos son incompatibles en ambos sistemas, uno de los dos deberá realizar una operación de traducción.  
Figura 1: Arquitectura simplificada para la transferencia de archivos.
Cada modulo o capa realiza un conjunto de tareas o procesos, en vez de tener un solo modulo que se encargue de gestionar todas la tareas por si solo en la comunicación, la arquitectura de protocolos se considera una estructura consistente en un conjunto de módulos que realizan todas las tareas.   

Cuando los protocolos no se respetan y se implementan de una forma incorrecta, ya sea por desconocimiento o por fines maliciosos, puede alterar el proceso de los módulos de comunicaciones, como la suplantación de identidad por SMTP, la cual es una violación a dicho protocolo y que recae sobre el modulo de aplicación o capa de aplicación en el modelo TCP/IP. 


Saludos.
Lexer Pars.
**************************************************************************************************************************************
¿Qué son los protocolos en informática y telecomunicaciones? (I de III)
¿Qué son los protocolos en informática y telecomunicaciones? (II de III)
¿Qué son los protocolos en informática y telecomunicaciones? (III de III)
******************************************************************************************************************************************************************************************************************************************************************************
       

jueves, 27 de febrero de 2014

¿Qué son los protocolos en informática y telecomunicaciones? (II de III)

Los protocolos de internet según los estados que pueden tener, se definen como:
  • Estándar: Este estado se asigna a un protocolo cuando la IAB lo ha establecido como protocolo de internet de manera oficial y puede ser clasificado en dos tipos: Protocolos IP y protocolos específicos de red.
  • Estándar borrador: Es un protocolo candidato a establecerse de manera oficial y es sometido a comentarios y resultados de pruebas.
  • Estándar propuesto: Estos protocolos deben de ser considerados por la IAB para implementarlos a un futuro, según como la tecnología lo necesite.
  • Experimental: Son protocolos que están en fase experimental y son aquellos que no deben implementarse en sistemas que no sean en entornos controlados.
  • Informativo: Estos son protocolos desarrollados por organizaciones privadas y que están fuera del alcance del IAB y que por razones de conveniencia para la comunidad son publicados como RFC.
  • Histórico: Son protocolos que con escasa probabilidad pueden llegar a ser un estándar de internet, ya sea porque el desarrollador los reemplace o por falta de interés.
Definiciones de estado del protocolo:
  • Requerido: Un sistema debe implementar los protocolos requeridos.   
  • Recomendado: Un sistema debe implementar los protocolos recomendados.  
  • Electivo: Un sistema puede o no implementar un protocolo electivo. La noción general es que si se va a hacer algo como esto, se debe hacer exactamente esto.   
  • Uso limitado: Estos protocolos están para usar en circunstancias limitadas. Esto puede ser debido a su estado experimental, naturaleza específica, funcionalidad limitada o estado histórico.   
  • No recomendado: Estos protocolos no se recomiendan para uso general. Esto se puede deber a su funcionalidad limitada, naturaleza específica o estado experimental o histórico.

Estándar de Internet

El estándar propuesto, el borrador y los protocolos estándar se describen como constituyentes del Internet Standards Track. El track estándar lo controla el Grupo de Dirección de Ingenieros de Internet (IESG) del IETF. Cuando un protocolo alcanza el estado de estándar se le asigna un número estándar (STD). El propósito de los números STD es indicar claramente qué RFCs describen los estándares de Internet. Los números STD referencian múltiples RFCs cuando la especificación de un estándar se divide en múltiples documentos. No como con los RFCs, donde el número se refiere a un documento específico, los números STD no cambian cuando un estándar se actualiza. Los números STD, sin embargo, no tienen número de versión dado que todas las actualizaciones se realizan vía RFCs y los números de RFC son únicos. De este modo, para especificar sin ambigüedad qué versión de un estándar único se está refiriendo, se pondría de manifiesto el número estándar y todos los RFCs que incluye. Por ejemplo, el Sistema de Nombres de Dominio (DNS) es STD 13 y se describe en los RFCs 1034 y 1035. Para referenciar el estándar se podría utilizar algo como "STD-13/RFC-1034/RFC-1035". Para una descripción de los Procesos Estándares, ver RFC 1602 -- Los Procesos Estándares de Internet - Revisión 2.
Para algunos estándares RFCs la categoría de status no siempre contiene suficiente información útil. Por lo tanto, se cumplimenta, notablemente por protocolos de enrutamiento por un applicability statement que se da en STD 1 o en un RFC separado.
Cuatro estándares de Internet tienen una importancia particular:
  • STD 1 - Estándares de Protocolos Oficiales de Internet  Este estándar da el estado y status de cada protocolo o estándar de Internet y define los significados atribuidos para cada estado o status diferente. Emitió aproximadamente una cuarta parte el IAB. Cuando se escribió este estándar fue el RFC 1780 (Marzo de 1995).
  • STD 2 - Números Asignados en Internet  Este estándar lista actualmente números asignados y otros parámetros de protocolos en la familia de protocolos de Internet. Lo emitió la Autoridad de Números Asignados de Internet (IANA). La edición cuando se escribió fue el RFC 1700 (Octubre de 1994).
  • STD 3 - Requerimientos del Host Este estándar define los requerimientos para el software de host de Internet (a menudo con referencia a los RFCs relevantes). El estándar viene en dos partes: RFC 1122 - Requerimientos para hosts de Internet - capas de comunicaciones y RFC 1123 - Requerimientos para hosts de Internet- aplicación y ayuda.
  • STD 4 - Requerimientos de Pasarela Este estándar define los requerimientos para el sofware de pasarela de Internet (router). Es el RFC 1009.
Referencia

Los protocolos de internet y de red pueden encontrarse en cada una de las capas del modelo OSI y que se cumplen para entablar una comunicación entre dispositivos.
Figura 1: Protocolos en el modelo OSI.


Saludos.
Lexer Pars.
**************************************************************************************************************************************
¿Qué son los protocolos en informática y telecomunicaciones? (I de III)
¿Qué son los protocolos en informática y telecomunicaciones? (II de III)
¿Qué son los protocolos en informática y telecomunicaciones? (III de III)
******************************************************************************************************************************************************************************************************************************************************************************
       

miércoles, 26 de febrero de 2014

¿Qué son los protocolos en informática y telecomunicaciones? (I de III)

Los protocolos en informática son un conjunto de reglas y normas establecidas que rigen como se realiza una comunicación entre dos o mas dispositivos, estableciendo la sintaxis, semántica y sincronización que se emplean al momento de efectuar una comunicación, así como una gestión ante errores que se puedan producir.
Figura 1: El protocolo es el lenguaje utilizado en una comunicación.
Los protocolos pueden ser lógicos o a nivel de software, como también los hay físicos o por hardware y en algunos otros son híbridos, es decir una combinación entre software y hardware. Los protocolos se son los que establecen el formato en que se deben enviar los mensajes en la red o las tramas de bit que circulan en las redes de computadoras.
Los protocolos de red una vez que se desarrolla e implementan son puestos compartidos a la comunidad por parte de los desarrolladores mediante los RFC (Request For Comments o Petición de Comentarios) . Los RFC son documentos informativos que contienen la descripción técnica necesaria para el funcionamiento de los servicios en internet. La IAB (Internet Architecture Board) es la encargada de supervisar y darle un seguimiento a los procesos de los RFC. Una de las fuentes mas grandes de RFC es IETF(Internet Engineering Task Force), los cuales realizan un proceso estricto y riguroso antes de ser publicado. Los protocolos son publicados por IAB, quien les asigna un estado que puede variar en estándar, estándar borrador, estándar propuesto, informativo, experimental e histórico.
Las definiciones del estado del protocolo son requerido, recomendado, electivo, uso limitado y no recomendado.
Saludos.
Lexer Pars.
**************************************************************************************************************************************
¿Qué son los protocolos en informática y telecomunicaciones? (I de III)
¿Qué son los protocolos en informática y telecomunicaciones? (II de III)
¿Qué son los protocolos en informática y telecomunicaciones? (III de III)
******************************************************************************************************************************************************************************************************************************************************************************
       

martes, 25 de febrero de 2014

Cuando tu información confidencial es publica!

Como ya es sabido por muchos, el hecho de utilizar servicios gestionados desde Internet hoy en día se algo normal. Pero muchas veces no se suelen aplicar medidas de seguridad que permitan garantizar autenticidad del uso o consumo de dicho servicio,  en algunos casos suele ocurrir por vulnerabilidades de los productos, un ejemplo de esto es la vulnerabilidad de las cámaras Trednet, y en otras situaciones es por configuraciones débiles en los productos que permiten a cualquier atacante comprometer el servicio o sistema sin mayor complicación.
 
Una forma fácil de encontrar estos servicio y dispositivos en la red, es utilizando la técnica de hacking con buscadores, lanzando querys en bing, google, shodan, etc. Ya que en muchas ocasiones se aplica un termino muy conocido en la seguridad, y es la famosa seguridad por oscuridad, es decir mantener oculto una falla o un acceso a un sistema desprotegido por el hecho de que nadie mas que personal autorizado sabe de que forma llegar a dicho sistema o porque dicha falla no será aprovechada si esta no se hace publica.

Un ejemplo de esto es utilizar shodan con la query Set-Cookie: iomega, donde se tendrán muchos resultados se los diversos productos que la empresa Lenovo EMC ofrece, y que uno de los mas atractivos para muchos atacantes es el producto de iomega NAS.

Figura 1: Resultados con Shodan.
 
La mayoría de servicios están mal configurados y permiten lectura/escritura sobre la NAS por un usuario ilegitimo, lo cual es un problema grandote si almacenas documentos confidenciales de tu empresa o personales de carácter privado, pues, esa información en manos equivocadas puede causar mucho daño.
 
Figura 2: Recursos compartidos en la NAS.
 
No te fíes de la seguridad por oscuridad y aplica unas medidas de seguridad fuertes que permitan mantener a salvo los 3 pilares de información, cuando pongas de cara al publico o en Internet algún servicio, sistema, dispositivo, etc., ya que si no lo haces, tus recursos serán aprovechados por otros, incluyendo la competencia, además que otros se aprovechen de ello, eso acompaña una indudable perdida económica.

Saludos.
Lexer Pars.
  

lunes, 24 de febrero de 2014

Evitando ejecución de programas remotos en RDP (II de II)

Otra forma de realizar un ataque contra un servidor de aplicaciones remotas es el ataque de stickykeys, que suele utilizarse para saltarse alguna pantalla login y en este caso saltarse la aplicación impuesta por el administrador, para utilizar los demás recursos del servidor. Este ataque es muy fácil de ejecutar, pues solo es necesario pulsar varias veces la tecla Shift para que emerja una tremenda ayuda para un atacante y una desgracia para un administrador.
Figura 1: Ataque por sticky keys (sethc.exe)


Figura 2: Opciones de accesibilidad.

Figura 3: Ejecutando cmd.exe desde las opciones de accesibilidad.

Figura 4: Ejecutando el explorer.exe


Las formas en que se puede llegar a comprometer un servidor de escritorio remoto y de aplicaciones remotas es bastante extenso, el ataque antes expuesto, se debe a una configuración débil en el servidor, pero pueden haber muchas mas opciones de ataque, una aplicación mal desarrollada, puede ser un gran problema, ya que a si durante su funcionamiento presenta algún bug, este será un camino seguro, para comprometer el servidor.

Así que no te fíes, y empieza a auditar tus servidores y aplicaciones remotas, para que no puedas tener sufrir de algún ataque y puedas perder información o una degradación de la imagen de tu organización. 

Saludos.
Lexer Pars.   

**************************************************************************************************************************************
Evitando ejecución de programas remotos en RDP (I de II)
Evitando ejecución de programas remotos en RDP (II de II)
******************************************************************************************************************************************************************************************************************************************************************************

domingo, 23 de febrero de 2014

Evitando ejecución de programas remotos en RDP (I de II)


Hoy tras un laboroso día de limpieza en el que habían muchos cables por todos lados al rededor mío, por la tarde al terminar todo esto, pensé en el ataque realizado al servidor de aplicaciones remotas y decidí hacer una par de pruebas mas comunes en al realizar pentesting o auditorias de seguridad.
Partiendo de que el administrador comparte una aplicación remota, según el archivo de configuración de la conexión RDP. Esta debería de estar asegurada, para permitir únicamente la ejecución de esta, y que cualquier inicio de sesión no tenga permitido ejecutar ninguna otra aplicación en vez de esta o iniciar sin que esta se ejecute.


Figura 1: Archivo de configuración de conexión RDP.

Una forma sencilla de acceder a un servidor de aplicaciones remotas desprotegido, es realizar una conexión sin mas que los parámetros de la dirección o host del servidor y el puerto, para ello se puede utilizar el símbolo de sistema y ejecutar mstsc.exe /v:url:puerto, sin ningún parámetro adicional.


Figura 2: Iniciando conexión RDP desde símbolo de sistema.


Si el servidor no esta configurado adecuadamente ingresaras directamente al escritorio de Windows, en el caso de algún usuario malicioso, tendrá muchas mas facilidad para instalar alguna puerta trasera, escalar privilegios, robar información confidencial o sensible de la organización, propagarse dentro de la red interna, etc.

Figura 3: Estableciendo la conexión con el servidor.

Figura 4: Acceso al escritorio remoto del servidor.

En este caso comprometer el servidor puede ser sumamente sencillo, y para lograrlo se pueden utilizar mas de un vector de ataque, aunque claro en este caso hay un factor de ventaja y es que se disponen de las credenciales de acceso al servidor, solo basta jugar con este para tener mas opciones en el mismo, pero en otros casos es necesario realizar ataques de fuerza bruta para acceder y lo único que te mantendrá al margen a muchos atacantes, aunque no a todos, será establecer unas buenas políticas de seguridad que te ayuden a gestionar que reglas se aplicaran y administrar de forma correcta tu servidor antes de lanzarlo de cara al publico.

Saludos.
Lexer Pars.   

**************************************************************************************************************************************
Evitando ejecución de programas remotos en RDP (I de II)
Evitando ejecución de programas remotos en RDP (II de II)
******************************************************************************************************************************************************************************************************************************************************************************
       


sábado, 22 de febrero de 2014

Microsoft te ayuda a que te especialices en informática!

Si buscas especializarte en soluciones informáticas, utilizando tecnología de Windows, pero no tienes los recursos suficientes para adquirir alguna licencia ya sea para productos de virtualización, desarrollo de software, etc., puedes visitar Microsoft Dream Spark, donde puedes adquirir mucho software de forma gratuita, para que puedas dedicarte a explorar estas tecnologías. 
 
Figura 1: Sitio de Microsoft Dream Spark.
 
Cuentas con un abanico muy amplio de donde elegir productos licenciados. Esta es una ayuda brindada a instituciones académicas y estudiantes un conjunto de herramientas sin costo alguno para que tanto los estudiantes, como educadores puedan al alcance esta tecnología profesional. Si estas a cargo de una institución educativa, puedes registrarla, para que tus estudiantes tengan acceso a estos beneficios y si eres un estudiante, puedes crear una cuenta en el sitio y verificar que tu institución esta registrada, en el caso de que no lo este, tendrás que comprobar tu vigencia de estudiante de forma manual.
 
Gozar de estos beneficios es de mucha utilidad, pues puedes aprovechar toda la tecnología para experimentar con ella y explorarla. En el sitio también encuentras documentación y libros gratuitos para que focalices tu aprendizaje.
 
Saludos.
Lexer Pars.

 


viernes, 21 de febrero de 2014

Ataque Language bar en tu servidor de aplicaciones remotas!

Hoy tras un día bastante activo regrese a casa y empecé a buscar conexiones de escritorio remoto, utilizando google hacking, para tratar de descansar y despejar un poco la mente.

Figura 1: Búsqueda en google utilizando dorks.
 
Tras poco tiempo encontré una aplicación de prueba ofrecida por una empresa de outsourcing, así que baje el archivo RDP y como es normal, una aplicación de prueba o demo ofrecido por la organización, para realizar la conexión hay dos posibles opciones, que el servidor posea una contraseña la cual es brindada por la organización ya sea por medio de un registro o publicado en las mismas especificaciones del demo o bien que no contraseña
 
 
Figura 2: Contraseña y usuario iguales para establecer conexión.
 
 
Una vez establecida la conexión con el servidor, la aplicación remota estará disponible para su uso. En este caso el servidor esta mal configurado y puede realizarse diversos ataques para comprometerlo, entre estos esta el Language bar.
 
Figura 3: Abriendo el navegador por medio de un enlace.
 
Este ataque permite llamar a la ayuda de Windows, en la cual tenemos muchos enlaces a sitios web, el objeto de esto es poder ejecutar el navegador web y a través de este tener acceso los ficheros del servidor, ejecutar el símbolo de sistema y después ya todo es creatividad pues cuando tienes acceso a los ficheros el sistema ya esta comprometido. 
 
 

Figura 4: Utilizando el navegador web remoto para acceder a los ficheros del servidor.
  
Figura 5: Símbolo de sistema de servidor remoto.
 
 
Si tienes algún servidor de aplicaciones remotas de cara al publico en el cual ofreces cualquier tipo de servicio, es mejor que le realices una auditoria y verifiques que no tienes fallas que permitan un ataque de Language bar y de ningún tipo y si estas pensando en lanzar un servicio de este tipo, asegura tu servidor, como tus aplicaciones, para que no puedan caer bajo algún ataque.
 
Saludos.
Lexer Pars.

jueves, 20 de febrero de 2014

Políticas de seguridad (III de III)

Para elaborar una política de seguridad es necesario pasar por cuatro etapas que permitan desarrollarla acorde a las necesidades de la organización y que puedan cumplirse en el día a día por todos los usuarios dentro de la organización.

Las etapas que involucran este proceso son, la etapa de desarrollo, implementación, mantenimiento y eliminación. 

1. Fase de desarrollo: durante esta fase la política es creada, revisada y aprobada. 
2. Fase de implementación: en esta fase la política es comunicada y acatada (o no cumplida
por alguna excepción).
3. Fase de mantenimiento: los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (actualizarla).  
4. Fase de eliminación: La política se retira cuando no se requiera más.  
Creación: Planificación, investigación, documentación, y coordinación de la política 
El primer paso en la fase de desarrollo de una política es la planificación, la investigación y la redacción de la política o, tomado todo junto, la creación. La creación de una política implica identificar por qué se necesita la política (por ejemplo, requerimientos legales, regulaciones técnicas, contractuales u operacionales); determinar el alcance y la aplicabilidad de la política, los roles y las responsabilidades inherentes a la aplicación de la política y garantizar la factibilidad de su implementación. La creación de una política también incluye la investigación para determinar los requerimientos organizacionales para desarrollar las políticas (es decir, que autoridades deben aprobarla, con quién se debe coordinar el desarrollo y estándares del formato de redacción), y la investigación de las mejores prácticas en la industria para su aplicabilidad a las necesidades organizacionales actuales. De esta etapa se tendrá como resultado la documentación de la política de acuerdo con los procedimientos y estándares de la universidad, al igual que la coordinación con entidades internas y externas que la política afectará, para obtener información y su aceptación. En general, la creación de una política es la función más fácil de entender en el ciclo de vida de desarrollo de una política. 

Revisión: Evaluación independiente de la política 
La revisión de la política es la segunda etapa en la fase de desarrollo del ciclo de vida. Una vez la documentación de la política ha sido creada y la coordinación inicial ha sido iniciada, esta debe ser remitida a un grupo (o un individuo) independiente para su evaluación antes de su aprobación final. Hay varios beneficios de la revisión independiente: una política más viable a través del escrutinio de individuos que tienen una perspectiva diferente o más vasta que la persona que redactó la política; apoyo más amplio para la política a través de un incremento en el número de involucrados; aumento de credibilidad en la política gracias a la información recibida de diferentes especialistas del grupo de revisión. Propio de esta etapa es la presentación de la política a los revisores, ya sea de manera formal o informal, exponiendo cualquier punto que puede ser importante para la revisión, explicando su objetivo, el contexto y los beneficios potenciales de la política y justificando por qué es necesaria. Como parte de esta función, se espera que el creador de la política recopile los comentarios y las recomendaciones para realizar cambios en la política y efectuar todos los ajustes y las revisiones necesarias para obtener una versión final de la política lista para la aprobación por las directivas. 

Aprobación: Obtener la aprobación de la política por parte de las directivas 
El paso final en la fase de desarrollo de la política es la aprobación. El objetivo de esta etapa es obtener el apoyo de la administración de la universidad, a través de la firma de una persona ubicada en una posición de autoridad.  
La aprobación permite iniciar la implementación de la política. Requiere que el proponente de la política haga una selección adecuada de la autoridad de aprobación, que coordine con dicho funcionario, presente las recomendaciones emitidas durante la etapa de revisión y haga el esfuerzo para que sea aceptada por la administración. Puede ocurrir que por incertidumbre de la autoridad de aprobación sea necesaria una aprobación temporal. 

Comunicación: Difundir la política 
Una vez la política ha sido aprobada formalmente, se pasa a la fase de implementación. La comunicación de la política es la primera etapa que se realiza en esta fase. La política debe ser inicialmente difundida a los miembros de la comunidad universitaria o a quienes sean afectados directamente por la política (contratistas, proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el método inicial de distribución de la política (es posible que deban tenerse en cuenta factores como la ubicación geográfica, el idioma, la cultura y línea de mando que será utilizada para comunicar la política). Debe planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la visibilidad de la política.
 
Cumplimiento: Implementar la política 
La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la política. Implica trabajar con  otras personas de la universidad, vicerrectores, decanos, directores de departamento y los jefes de dependencias (de división o de sección) para interpretar cuál es la mejor manera de implementar la política en diversas situaciones y oficinas; asegurando que la política es entendida por aquellos que requieren implementarla, monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir el impacto inmediato de la política en las actividades operativas. Dentro de estas actividades está la elaboración de informes a la administración del estado de la implementación de la política.  

Excepciones: Gestionar las situaciones donde la implementación no es posible 
Debido a problemas de coordinación, falta de personal y otros requerimientos operacionales, no todas las políticas pueden ser cumplidas de la manera que se pensó al comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones a la política para  permitir a ciertas oficinas o personas el no cumplimiento de la política. Debe establecerse un proceso para garantizar que las solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para aprobación o desaprobación, documentadas y vigiladas a través del periodo de tiempo establecido para la excepción. El proceso también debe permitir excepciones permanentes a la política al igual que la no aplicación temporal por circunstancias de corta duración. 

Concienciación: Garantiza la concienciación continuada de la política 
La etapa de concienciación de la fase de mantenimiento comprende los esfuerzos continuos realizados para garantizar que las personas están conscientes de la política y buscan facilitar su cumplimiento. Esto es hecho al definir las necesidades de concienciación de los diversos grupos de audiencia dentro de la organización (directivos, jefes de dependencias, usuarios, etc.); en relación con la adherencia a la política, determinar los métodos de concienciación más efectivos para cada grupo de audiencia (es decir, reuniones informativas, cursos de entrenamiento, mensajes de correo, etcétera); y desarrollo y difusión de material de concienciación (presentaciones, afiches, circulares, etc.). La etapa de concienciación también incluye esfuerzos para integrar el cumplimiento de la política y retroalimentación sobre el control realizado para su cumplimiento. La tarea final es medir la concienciación de los miembros de la comunidad universitaria con la política y ajustar los esfuerzos de  acuerdo con los resultados de las actividades medidas. 

Monitoreo: Seguimiento y reporte del cumplimiento de la política 
Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y reportar la efectividad de lo esfuerzos en el cumplimiento de la política. Esta información se obtiene de la observación de los docentes, estudiantes, empleados y los cargos de supervisión, mediante auditorias formales, evaluaciones, inspecciones, revisiones y análisis de los reportes de contravenciones y de las actividades realizadas en respuesta a los incidentes. Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la política a través de métodos formales e informales y el reporte de las deficiencias encontradas a las autoridades apropiadas.  
Garantía de cumplimiento: Afrontar las contravenciones de la política 

La etapa de garantía de cumplimiento de las políticas incluye las respuestas de la administración a actos u omisiones que tengan como resultado contravenciones de la política con el fin de prevenir que sigan ocurriendo. Esto significa que una vez una contravención sea identificada, la acción correctiva debe ser determinada y aplicada a los procesos (revisión del proceso y mejoramiento), a la tecnología (actualización) y a las personas (acción disciplinaria) involucrados en la contravención con el fin de reducir la probabilidad de que vuelva a ocurrir. Se recomienda incluir información sobre las acciones correctivas adelantadas para garantizar el cumplimiento en la etapa de concienciación. 
 
Mantenimiento: Asegurar que la política esté actualizada 
La etapa de mantenimiento esta relacionada con el proceso de garantizar la vigencia y la integridad de la política. Esto incluye hacer seguimiento a las tendencias de cambios (cambios en la tecnología, en los procesos, en las personas, en la organización, en el enfoque del negocio, etcétera) que puede afectar la política; recomendando y coordinando modificaciones resultado de estos cambios, documentándolos en la política y registrando las actividades de cambio. Esta etapa también garantiza la disponibilidad continuada de la política para todas las partes afectadas por ella, al igual que el mantenimiento de la integridad de la política a través de un control de versiones efectivo. Cuando se requieran cambios a la política, las etapas realizadas antes deben ser re-visitadas, en particular las etapas de revisión, aprobación, comunicación y garantía de cumplimiento.  

Retiro: Prescindir de la política cuando no se necesite más 
Después que la política ha cumplido con su finalidad y no es necesaria (por ejemplo, la empresa cambió la tecnología a la cual aplicaba o se creó una nueva política que la reemplazó) entonces debe ser retirada. La etapa de retiro corresponde a la fase de eliminación del ciclo de vida de la política, y es la etapa final del ciclo. Esta función implica retirar una política superflua del inventario de políticas activas para evitar confusión, archivarla para futuras referencias y documentar la información sobre la decisión de retirar la política (es decir, la justificación, quién autorizó, la fecha, etcétera).  
Estas cuatro fases del ciclo de vida reúnen 11 etapas diferentes que deben seguirse durante el ciclo de vida de una política específica. No importa como se agrupen, tampoco importa si estas etapas son abreviadas por necesidades de inmediatez, pero cada etapa debe ser realizada. Si en la fase de desarrollo la universidad intenta crear una política sin una revisión independiente, se tendrán políticas que no estarán bien concebidas ni serán bien recibidas por la comunidad universitaria. En otras circunstancias, y por falta de visión, puede desearse omitir la etapa de excepciones de la fase de implementación, pensando equivocadamente que no existirán circunstancias para su no cumplimiento. También se podría descuidar la etapa de mantenimiento, olvidando la importancia de mantener la integridad y la vigencia de las políticas. Muchas veces se encuentran políticas inoficiosas en los documentos de importantes organizaciones, indicando que la etapa de retiro no está siendo realizada.  

No sólo se requiere que las once etapas sean realizadas, algunas de ellas deben ser ejecutadas de manera cíclica, en particular mantenimiento, concienciación, monitoreo, y garantía de cumplimiento.

Saludos.
Lexer Pars.   

**************************************************************************************************************************************
Políticas de seguridad (I de III)
Políticas de seguridad (II de III)
Políticas de seguridad (III de III)
******************************************************************************************************************************************************************************************************************************************************************************

miércoles, 19 de febrero de 2014

Políticas de seguridad (II de III)


Las políticas son un conjunto de principios que ayudan a la gestión adecuada de un área de control en especifica, con el fin de que puedan implementarse en un periodo largo de tiempo y dirijan el desarrollo de reglas y criterios mas específicos para un grupo de situaciones en concreto.  Estas políticas son dadas a conocer en la organización  y soportadas por mejores practicas, estándares, guías y procedimientos.

Un estándar es la respuesta o acción ante la presencia de algún evento o situación ocurrida. Los estándares son orientaciones que promueven el cumplimiento de las políticas.

Las mejores practicas, son aquellas  normas o reglas que se aplican a los sistemas con el fin de asegurar estos, verificando que estén configurados adecuadamente y gestionados de forma uniforme.

Una guía es una declaración general que se encarga de recomendar un enfoque especifico para implementar políticas, estándares y mejores practicas, es decir con recomendaciones que aunque no son obligatorias deben de considerarse al implementar la seguridad.

Los procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema específico.  


Saludos.
Lexer Pars.   

**************************************************************************************************************************************
Políticas de seguridad (I de III)
Políticas de seguridad (II de III)
Políticas de seguridad (III de III)
******************************************************************************************************************************************************************************************************************************************************************************

martes, 18 de febrero de 2014

Políticas de seguridad (I de III)

Para mantener una seguridad estructurada, definida y establecida de acuerdo a los objetivos de la empresa, es necesario desarrollar políticas de seguridad que marquen la pauta de mecanismos de seguridad se deben implantar en una empresa según los activos que se necesiten proteger. 

En organizaciones que no tienen aun una madurez en seguridad informática no se implementan dichas políticas y que en un futuro se ven afectadas a base de el desconocimiento de que se debe proteger, ante que amenazas se debe proteger, quienes son los responsables al presentarse algún evento, mantener un control de vulnerabilidades y lo peor de todo, el desconocimiento por parte de los usuarios de la organización.

Las políticas de seguridad son la base de toda estructura de protección de activos y de esta parten las normativas a integrar, la implantación y mecanismos que se utilizaran para gestionar la seguridad en las organizaciones, sin la existencia de estas, no puede haber un correcto control y relación con las demás etapas de aseguramiento en una organización.     
Figura 1: Relación de la política de seguridad con las demás etapas de aseguramiento 
   
Aunque el hecho de desarrollar una política de seguridad, no es nada sencillo, pues para que esta se cumpla correctamente dentro de la organización y se establezca de acuerdo a lo que la organización verdaderamente necesita, hay un proceso de investigación, para encontrar cuales son la necesidades de la empresa, en cuanto a la protección de los activos, identificar los activos, si es que no lo están, y verificar que estén todos, establecer las normativas que regirán dicha política . Elaborar una propuesta de la política para presentarla a los directivos, para que puedan aceptarla y aprobarla, luego implementar dicha política utilizando los mecanismos de seguridad, posteriormente, divulgarla en la organización y concienciar a los usuarios para que puedan cumplirla. Mantenerla actualizada constantemente y cuando haya perdido vigencia, eliminarla.

Aunque hay mas elementos que intervienen al momento de desarrollar políticas de seguridad y mas procesos que deben seguirse para lograr una aceptación por parte de los usuarios, para que estos puedan acatarlas políticas como veremos a mas adelante.

Saludos.
Lexer Pars.   

**************************************************************************************************************************************
Políticas de seguridad (I de III)
Políticas de seguridad (II de III)
Políticas de seguridad (III de III)
******************************************************************************************************************************************************************************************************************************************************************************
       

lunes, 17 de febrero de 2014

Botnet

Las Botnet son una red de robots informáticos bots o software que realiza un conjunto de tareas  de forma autónoma y automática los cuales reciben ordenes de un administrador de  la red de bots.

La diversidad de utilidades que se le han brindado a este tipo de software ofrece muchas opciones de uso, desde gestionar procesos y tareas en un conjunto de ordenadores de una organización, hasta su utilización por los cibercriminales para atacar o generar algún tipo de ganancia.

Los usos mas comunes de dicho software es el envió de spam, ataques DDOS ataques de phishing, fraude con sitios de publicidad y la distribución de malware mediante un alquiler temporal de dicha red, compuesta por un conjunto de ordenadores comprometidos.  

Figura 1: Utilización de una botnet para enviar spam.

Una botnet que se utiliza para el envió de spam, funciona bajo 5 pasos o etapas. 
  1. Etapa 1: El administrador de la botnet envía malware a usuarios generalmente aleatorios.
  2. Etapa 2: Los ordenadores de los usuarios quedan comprometidos y establecen una comunicación con el centro de mandos de la botnet.
  3. Etapa 3: El spammer paga un cantidad por tener acceso a dicha red ya sea bajo distintas cuotas, por hora, día, semana, etc.
  4. Etapa 4: El spammer envía las ordenes a los bots o ordenadores comprometidos.  
  5. Etapa 5: Los ordenadores comprometidos enviar el spam. 

Las botnet desde hace ya bastante tiempo han sido un negocio bastante redondo y que cada día hay mas y mas victimas en los cuales la mayoría de usuarios no suelen percibir que el equipo ha quedado comprometido.

Saludos.
Lexer Pars.

domingo, 16 de febrero de 2014

Detectar una web shell en tu servidor

Cuando tienes de cara muchos servicios al publico y entre ellos figura un sitio web, hay muchas amenazas que pueden atentar contra la información y las aplicaciones web de la organización, aun cuando se tengan unas políticas de seguridad buenas y una revisión constante de las actualizaciones del software y por supuesto auditorias constantes, puede que en algún momento tu servidor resulte comprometido o si ofreces un servicio de hosting, puede que alguna empresa tenga una aplicación web vulnerable y por esta un atacantes pueda tomar control del servidor web y comprometer todos los sitios alojados en el.

Cuando un atacante detecta e identifica una falla en alguna aplicación web, con toda seguridad tratara de subir una web shell, con la ejecutara comandos arbitrarios del sistema y de acceso a ficheros, con el fin de controlar el servidor.

Una solución practica para detectar web shell en tu servidor es utilizar NeoPI, que es un script en Python que busca reconocimiento de patrones en los códigos de las paginas web, aun cuando el código se encuentra ofuscado, utilizando un método de análisis recursivo en los directorios donde se aloja el sitio o sitios, para la detección utiliza los siguientes métodos:

  • Firmas: Busca patrones dentro del código de las paginas identificando funciones peligrosas y utilizadas en web shell como system(), eval(), etc.
  • Entropía de la información: Se encarga de medir la incertidumbre de una fuente de información.
  • Indice de coincidencia: Este método realiza comparaciones con un texto base de distribución con el objetivo de detectar alguna ofuscación o cifrado en una web shell.
  • Strings Largas: Identifica cadenas largas que generalmente representan código ofuscado.           
 Implementación de NeoPI

Aunque esta herramienta no es del todo perfecta, por los falso positivos que suele mostrar, no es una mala opción al momento de utilizar como medida de seguridad en tus servidores, un gestión adecuada y motorización te ayudara reducir el riesgo de las amenazas de una web shell.

Saludos.
Lexer Pars.    

sábado, 15 de febrero de 2014

Topología de red


Hoy después de regresar de la Universidad y transcurrida esta semana que han sido verdaderamente agotadora, me puesto a recordar un poco sobre las topologías de red, así que, si aun no sabes de ellas, acá tienes una pequeña introducción al tema.  

Topología de red, Se refiere a la familia de comunicación empleada para interconectar dispositivos de usuario, sistemas o nodos para compartir recursos. Es decir el diseño en que se interconectan un conjunto de nodos ya sea de forma  lógica o física.   

La topología de red es la que determina la configuración de las conexiones entre los nodos y se clasifican en:
  • Red punto a punto: Es aquella en la cual se utiliza un mismo canal de datos o enlace para comunicar dos dispositivos o nodos. La comunicación entre estos nodos se realiza de forma directa.   
  • Red en bus: Es la configuración de conexiones de nodos en la cual se utiliza un mismo canal de comunicaciones denominado bus, troncal o backbone, por todos los dispositivos o nodos de la red. Al utilizar este tipo de configuración existen muchas colisiones al momento de transmitir, por el hecho de compartir el mismo canal de comunicación con todos los nodos. 
  • Red en estrella: En esta  topología de red las nodos esta conectados a un dispositivo de red central, por el cual ocurre toda comunicación entre el conjunto de nodos conectados a dicha red. La transmisión  entre los distintos nodos se realiza del nodo origen, hacia el dispositivo de red central, el cual envía la transmisión al nodo destino.  
  • Red en anillo: Este tipo de configuración se caracteriza porque cada nodo perteneciente a la red contiene un receptor y un transmisor, es decir una conexión para entrada y otra salida de comunicación. La comunicación entre el conjunto de nodos de la red se realiza por medio del paso de un token o testigo, el cual pasa de un nodo a otro hasta llegar a su destino.
  • Red malla: En esta configuración cada nodo esta conectado a todos los nodos, de esa forma es posible transmitir a un nodo destino utilizando diversas rutas o caminos.
  • Red en árbol: Puede ser vista como una colección de redes en estrella ordenadas en una jerarquía. Éste árbol tiene nodos periféricos individuales (por ejemplo hojas) que requieren transmitir a y recibir de otro nodo solamente y no necesitan actuar como repetidores o regeneradores. Al contrario que en las redes en estrella, la función del nodo central se puede distribuir. Como en las redes en estrella convencionales, los nodos individuales pueden quedar aislados de la red por un fallo puntual en la ruta de conexión del nodo. Si falla un enlace que conecta con un nodo hoja, ese nodo hoja queda aislado; si falla un enlace con un nodo que no sea hoja, la sección entera queda aislada del resto. Para aliviar la cantidad de tráfico de red que se necesita para retransmitir todo a todos los nodos, se desarrollaron nodos centrales más avanzados que permiten mantener un listado de las identidades de los diferentes sistemas conectados a la red. Éstos switches de red “aprenderían” cómo es la estructura de la red transmitiendo paquetes de datos a todos los nodos y luego observando de dónde vienen los paquetes respuesta.      
  • Red híbrida: Las redes híbridas usan una combinación de dos o más topologías distintas de tal manera que la red resultante no tiene forma estándar. Por ejemplo, una red en árbol conectada a una red en árbol sigue siendo una red en árbol, pero dos redes en estrella conectadas entre sí (lo que se conoce como estrella extendida) muestran una topología de red híbrida. Una topología híbrida, siempre se produce cuando se conectan dos topologías de red básicas. Dos ejemplos comunes son:
    • Red de estrella en anillo, consta de dos o más topologías en estrella conectadas mediante una unidad de acceso multiestación (MAU) como hub centralizado.
    • Una red de estrella en bus, consta de dos o más topologías en estrella conectadas mediante un bus troncal (el bus troncal funciona como la espina dorsal de la red).
    Mientras que las redes en rejilla han encontrado su sitio en aplicaciones de computación de alto rendimiento, algunos sistemas han utilizado algoritmos genéticos para diseñar redes personalizadas que tienen el menor número posible de saltos entre nodos distintos. Algunas de las estructuras de redes resultantes son casi incomprensibles, aunque funcionan bastante bien.
       

     Figura 1: Topologias de red.
Saludos.
Lexer Pars.

viernes, 14 de febrero de 2014

Este tipo tiene mi teléfono móvil y yo tengo una foto suya

El domingo por la mañana tuve la desgracia de que me robaran el teléfono móvil en la ciudad de Barcelona. En estos casos tienes la opción de hacer la denuncia y esperar que haya suerte a que un juez decida solicitar los datos de IMEI y consigas recuperar el terminal móvil en un futuro incierto, o no resignarte y buscar maneras alternativas para recuperarlo.

Mi operadora Yoigo ya me ha dicho que ellos no se pueden responsabilizar de nada, ni tampoco me van a prestar su ayuda con datos de posición de ese terminal en la red sin la orden de un juez. Lo peor e es que ellos me vendieron el terminal y ahora que me lo han robado he de seguir pagando aunque la compañía no me ayude a localizar al ladrón. Te remiten al contrato que firmaste y listo.

En mi caso no quiero cruzarme de brazos y esperar a que simplemente por medios policiales o judiciales me devuelvan el móvil. Por precaución tenía guardado los datos del IMEI y Número de Serie además de haber instalado Cerberus para poder controlar remotamente el terminal Android en caso de pérdida, y he intentado buscar cualquier dato que me sirviera para completar mi denuncia y que un juez se la tome más en serio.

      Figura 1: Cerberus para Android. Un Anti Robo para terminales Android.

Haciendo uso de Cerberus tomé una foto del poseedor de mi teléfono, que además aporté junto con la denuncia y las descripciones de la gente que me robó. Esta es la foto del que ahora tiene mi móvil. 
 
  Figura 2: Foto tomada con Cerberus donde se ve la cara del poseedor actual
 
La de arriba es la foto original por si alguien más ducho en el arte del retoque fotográfico consigue sacar mejor resultado de ella y la siguiente es una foto modificada para intentar que se vean mejor los rasgos del tipo que posee ahora mi teléfono móvil.


Figura 3: Foto retocada de la persona con el terminal móvil. Es de Barcelona

El terminal es un HTC One y sus datos son IMEI 354436056076084 y Número de Série SH353W903550. El IMEI está denunciado, así que si compras este terminal en el mercado de segunda mano puede ser que deje de funcionar en cuanto sea bloqueado por las operadoras.

Se de la dificultad de conseguir nuevos datos que aportar a mi denuncia. Podría vigilar la zona y avisar a los Mossos si veo a esta gente y así conseguir con una detención ampliar la denuncia y de esta manera conseguir que el juez pida los datos a la compañía o tratar de conseguir esos datos por mi cuenta y entregarlos a los Mossos para que se amplíe esa denuncia y pueda ser más efectiva.

Por eso me he decidido a publicar este artículo con la foto de la persona que tiene ahora mi terminal en Internet al estilo de otros en el pasado que fueron capaces de localizar su dispositivo y al ladrón, como se ve en la lista de casos de ladrones en modo EPIC FAIL.

Si lo conoces, por favor, contacta por favor conmigo a través de Twitter (@Joan1983) o deja un comentario en este post. Si has sufrido algún robo sabrás lo que se siente así que cualquier ayuda en la difusión para localizar a este tipo será bien recibida. Doy las gracias de antemano por toda la ayuda que me puedan prestar para localizar a esta persona y mi terminal móvil. Por descontado que una ronda correrá de mi parte si hay logros aunque eso no tendrá tanto valor como mi eterno agradecimiento y el placer de poder detener a los ladrones.

Autor: Joan Aragón
Twitter: @Joan1983

Fuente

jueves, 13 de febrero de 2014

Conceptos básicos de seguridad

Durante los primeros días en los que he recibido el curso de seguridad de la información en la Universidad, se han tratado temas básicos, de tal forma que los que saben menos del tema, puedan acoplarse he ir en un mismo sentir en el curso.   

Lo inicial en el curso es conocer los pilares de la seguridad de información, diferenciar entre un ataque, una amenaza, el riesgo y el impacto. La cual radica en que una amenaza es un conjunto de circunstancias de diversas índoles que dada una oportunidad, atacarían un sistema ocasionando un daño, mientras un ataque por su parte es la materialización misma de la amenaza. El riesgo, es la probabilidad de que una amenaza se pueda materializar por alguna vulnerabilidad que se encuentre en algún sistema y el impacto son las consecuencias del ataque provocado.

Algunos mecanismos de seguridad impuesto para asegurar una red contra intrusiones son:
  • Autenticación.
  • Autorización.
  • Verificador de la integridad de la información.
  • Cifrado.
  • Copias de seguridad.
  • Software anti-malware.
  • Firewall.
  • IDS.
  • Certificados.
  • Auditoria.    
Por mi parte incluiría algunos mas que son fundamentales y es un sistema que verifique la integridad de los sistemas como tal, ademas de la información, incluir dentro de las políticas de seguridad un control y seguimiento adecuado de las actualizaciones del software, utilizar un borrado seguro al momento de remplazar dispositivos de almacenamiento, capacitas al personal o empleados para detectar y evitar ataques de ingeniería social, mantener un correcto monitoreo de la red, en busca de trafico malicioso, dependiendo de la empresa y sus recursos, incluir sistemas biometricos para resguardar el acceso físico, siempre tratando de mantener un balance correcto entre la operatividad y la seguridad.

       Figura 1: Leyendo teoría de seguridad informática. 

Hoy como de costumbre pasare investigando un par de temas de seguridad, luego echare una ojeada a los temas vistos en clase, que para mi mala suerte son temas de los cuales tengo conocimiento teórico y practico, pero siempre es bueno leer para ampliar el panorama de un tema en concreto. Espero terminar pronto todo porque llevo algunos días de desvelo y ahora con el gimnasio, los días se han vuelto muy agotadores, aunque satisfactorios en todos los sentidos.

Saludos.
Lexer Pars.

miércoles, 12 de febrero de 2014

Operación de ciberespionaje avanzada de origen hispano

Hace a penas dos días un grupo de investigación de Kaspersky Labs, dio a conocer una nueva amenaza de malware conocida como Careto o Mascara, la cual infecto organizaciones gubernamentales, compañías de energía, petróleo y gas, así como a otras víctimas de perfil alto. Se han contabilizado más de 380 víctimas únicas entre más de 1000  IPs. Las infecciones se han observado en: Argelia, Argentina , Bélgica, Bolivia , Brasil , China, Colombia, Costa Rica, Cuba , Egipto, Francia , Alemania, Gibraltar, Guatemala, Irán , Irak, Libia, Malasia , Marruecos, México, Noruega, Pakistán, Polonia, Sudáfrica, España, Suiza, Túnez, Turquía, Reino Unido, Estados Unidos y Venezuela.

 Figura 1: Países Infectado por la mascara.

Los ciberatacantes tenían como reto principal recopilar datos sensibles de los sistemas infectados,  incluyendo, diversas claves de cifrado, configuraciones VPN, claves SSH (que sirve como medio de identificación de un usuario a un servidor SSH) y archivos RDP (utilizado para abrir automáticamente una conexión a una computadora reservada).

Según el informe de análisis de Kaspersky Lab, la campaña de La Máscara se basa en el envío de mensajes de correo electrónico phishing con vínculos a un sitio web malicioso. El sitio web malicioso contiene una serie de exploits diseñados para infectar a los visitantes en función de la configuración del sistema. Después de la infección, el sitio malicioso redirige al usuario a la página web legítima de referencia en el correo electrónico, que puede ser una película de YouTube o un portal de noticias.

Es importante tener en cuenta que el exploit en sitios web no infecta automáticamente a los visitantes. En su lugar, los atacantes reciben los exploits en carpetas específicas en el sitio web, que no están directamente referenciados en ningún lugar, excepto en mensajes de correo electrónico maliciosos. A veces, los atacantes utilizan subdominios en los sitios web para que parezcan más reales. Estos subdominios simulan las secciones de los principales periódicos de España, además de algunos internacionales, por ejemplo, "The Guardian" y "The Washington Post".

El malware intercepta todos los canales de comunicación y recoge la información más importante del sistema infectado. La detección es extremadamente difícil debido a las capacidades del rootkit sigiloso. Careto es un sistema altamente modular, soporta plugins y archivos de configuración, que le permiten realizar un gran número de funciones. Además de las funcionalidades incorporadas, los operadores de Careto podían cargar módulos adicionales que podrían llevar a cabo cualquier tarea malicioso.


Saludos.
Lexer Pars.

martes, 11 de febrero de 2014

Identificación y análisis de patrones de trafico malicioso


Nunca esta demás monitorear el trafico de la red, en busca de patrones de trafico maliciosos que estén  buscando obtener información o colarse en un sistema de la organización, ya sea por un escaneo de puertos, por ataques de fuerza bruta contra algún tipo de servicio en concreto.  

Sea cual sea las medidas de seguridad que implementes en tu organización, el análisis y la identificación de trafico maliciosos en tu organización es algo fundamental, para poder prepararse y adelantarse a cualquier atacantes, aplicando lo que es una seguridad activa, en vez de una seguridad pasiva. Te dejo un vídeo para que puedas aprender como realizar esta practica en tu organización, hay soluciones como Pravail , que no estan al alcance de muchos, pero hay multitudes de herramientas para análisis de trafico, como Wireshark, que te permitirán identificar estos patrones. 


Vídeo análisis de patrones maliciosos

Saludos.
Lexer Pars. 

lunes, 10 de febrero de 2014

Cuando tus aplicaciones web seguras no sirven de nada!

Hoy que he tenido un poco de tiempo libre y el gimnasio no me ha dejado demasiado cansado empece a visitar algunos sitios web de Guatemala, para buscar algún tipo de falla o vulnerabilidad que me permitiera divertirme un poco.

Buscando un poco en la red, me encontré con sitio que presentaba vulnerabilidades de SQL Injection. Tras un momento de estar probando con sqlmap saque las bases de datos y los usuarios y password's del panel de administración.

  Figura 1: Bases de datos obtenidas con sqlmap

Figura 2: usuarios y passwords del panel de administración.

Desde el panel de administración fácilmente era posible realizar un defacement, ya que contaba con muchas opciones para la redacción y publicación de contenido en el sitio web. Pero ademas de esto contaba con una opción para incluir una imagen o fichero, el cual padecía de Unrestricted File Upload, permitiendo subir cualquier tipo de fichero.

       Figura 3: Formulario para cargar archivos

Aprovechando esto, subí una webshell c99 al servidor para poder realizar mas acciones dentro de este, ya que el panel de administración se limita unicamente a modificaciones del sitio web como tal.

 Figura 4: WebShell subida al servidor.

En muchos casos al momento de subir una webshell a un servidor, encuentras algunas limitaciones, que pueden ser el safe mode habilitado en el php.ini, el cual por seguridad suele bloquear un conjunto de funciones peligrosas, como lo son exec, system, etc., adicional a esto también se puede encontrar con el mod security habilitado en un Apache, estas son algunas medidas utilizadas en muchos servidores y que pueden fácilmente se pueden bypassear. El servidor donde se aloja el sitio de vulnerado, no cuenta con estas protecciones como aparece en la figura 4 el safe mode no esta habilitado, lo cual permite a un atacante moverse con facilidad por todo el servidor.

Llegado a este punto, configure el RAT DarkComet, y cree un server, el cual lo subir al servidor y posteriormente lo ejecute.

Figura 5: Conexión utilizando DarkComet al servidor web.

Después eso, ya logre tener un mejor panorama del servidor, y al ser este un servidor compartido, visualizar el demás contenido de las webs alojadas en dicho servidor, por supuesto tras notificarle esto al administrador, seguro que lo solucionara lo mas pronto posible.

Para cualquier administrador de sistemas siempre es importante mantener la seguridad de la información y por ello tienden a restringir los recursos en las organizaciones, instalando IDS, DLP, estableciendo buenas politicas de seguridad,actualizando los sistemas, analizando el red trafico de la red, capacitando a los empleados y muchas tareas mas con las cuales debe cargar todo buen administrador.

Actualmente la mayoría de transacciones se manejar por internet por medio de aplicaciones web, en las cuales, muchas empresas por mayor comodidad, ya sea por ahorro de costes, falta de recursos tecnológicos como puede ser el bajo ancho de banda que hay en determinados países, etc, optan por contratar servicios de terceros, ya sea contratando un servidor compartido o un servidor dedicado para montar sus servicios y aplicaciones web, que ofrecerán a sus clientes o empleados de la organización.

Cuando una organización se costea un servidor dedicado la gestión de la seguridad esta divida 50-50, ya que el administrador de la organización debe velar por la seguridad lógica del servidor y en la cual para cualquier tipo de evento que surge, puede echar mano al servidor para solucionar cualquier problema. El otro 50% corresponde a la empresa que presta el servicio de rentar el servidor o servidores y quien es la que asume el papel de administradora física del servidor, esta es quien debe velar por que el servidor este bajo un ambiente regulado, físicamente seguro, en los cuales nadie mas que personal autorizado ingrese al data center. Todo esto es muy bueno, siempre y cuando se tomen las medidas de seguridad por ambas partes. Aunque se adopten buenas practicas y medidas de seguridad nunca se esta 100% seguro y existe un riego latente ante los diversos ataques que se pueden recibir.

El riesgo se incrementa al hablar de servidores compartidos, como el expuesto en el caso ya que el administrador de la organización no sera quien este involucrado en securizar tanto a nivel físico y lógico el servidor, puedes tener todas tus aplicaciones web aseguradas perfectamente e incluso el administrador del servidor compartido, puede establecer un conjunto de medidas de seguridad que permitan mantener lejos a un buen grupo de atacantes, pero si alguna web alojada en el mismo servidor es vulnerable, no servirá de mucho las medidas que se adopten y que tus aplicaciones si estén seguras.

Algunas veces, algunos atacantes quieren ingresar a algún sitio web, el cual se encuentra bien desarrollado, y tras buscar fallos y no encontrarlos, buscan sitios alojados en el mismo servidor, que si presenten fallas y mediante estas, dar con tu sitio.

Si utilizas un servidor compartido, mas vale que empieces a pedirle a la empresa que te provee el servicio que realice auditorias frecuentes y por tu parte asegúrate de que tus aplicaciones web son seguras, no vaya ser que por tu culpa o culpa de alguien mas, comprometan dicho servidor y la información de todos quede expuesta. 

Saludos.
Lexer Pars.

Payoneer US Payment Service Approval