lunes, 31 de marzo de 2014

Hardening III de III

A pesar de que el proceso suele llevar una cantidad de tiempo considerable para desarrollarlo existen variedades de herramientas que permiten la implementación de este proceso, aunque no del todo suelen ser totalmente independientes, pues requieren de adiciones manuales efectuadas por el administrador, si que ayudan a reducir la cantidad de trabajo al momento de realizar este proceso.

Dentro de algunas herramientas entre muchas que hay disponible en el mercado son:


Aunque este proceso es verdaderamente esencial al momento de asegurar cada uno de los hots dentro de una organización no debe de olvidarse que se la seguridad no debe prender unicamente de un hilo en concreto como este y que de emplearse un conjunto de medidas adicionales que permitan mantener la seguridad de los sistemas a salvo de cualquier atacante o evento informático que pueda suceder   


Saludos.
Lexer Pars.
******************************************************************************************************************************************************************************************************************************************************************************
******************************************************************************************************************************************************************************************************************************************************************************

domingo, 30 de marzo de 2014

Hardening II de III

Cuando se realiza el hardening hay que realizar todo un conjunto de tareas que permitan asegurar una estación de trabajo o host de la organización contra los ataques físicos y lógicos que pueda recibir. Dentro de algunas tareas o configuraciones a realizar son:

  • Configuraciones necesarias para protegerse de posibles ataques físicos o de hardware de la máquina. Entre otras actividades, destacan el upgrade de firmware, el establecimiento de contraseñas complejas para el arranque del equipo y la configuración de la BIOS, la deshabilitación de inicio de sistema para cualquier unidad que no sea el disco duro principal, y en casos de servidores, la deshabilitación de dispositivos ópticos, usb o similares, para evitar cualquier entrada de malware desde un medio de almacenamiento externo.
  • Instalación segura del sistema operativo. Esto implica, entre otras cosas, el considerar al menos dos particiones primarias (1 para el sistema operativo en sí y otra para carpetas y archivos de importancia), el uso de un sistema de archivos que tenga prestaciones de seguridad, y el concepto de instalación mínima, es decir, evitando la instalación de cualquier componente de sistema que no sea necesario para el funcionamiento del sistema.
  • Activación y/o configuración adecuada de servicios de actualizaciones automáticas, para asegurar que el equipo tendrá todos los parches de seguridad que entrega el proveedor al día. En caso de que se encuentre dentro de una corporación, es adecuado instalar un servidor de actualizaciones, que deberá probar en un entorno de laboratorio el impacto de la instalación de actualizaciones antes de instalarlas en producción.
  • · Instalación, configuración y mantención de programas de seguridad tales como Antivirus, Antispyware, y un filtro Antispam según las necesidades del sistema.
  • Configuración de la política local del sistema, considerando varios puntos relevantes:
  • Política de contraseñas robusta, con claves caducables, almacenamiento histórico de contraseñas (para no usar contraseñas cíclicas), bloqueos de cuentas por intentos erróneos y requisitos de complejidad de contraseñas.
  • Renombramiento y posterior deshabilitación de cuentas estándar del sistema, como administrador e invitado.
  • Asignación correcta de derechos de usuario, de tal manera de reducir las posibilidades de elevación de privilegios, y tratando siempre de limitar al mínimo los privilegios y/o derechos de los usuarios activos.
  • Configuración de opciones de seguridad generales, como aquellas relacionadas con rutas de acceso compartido, apagado de sistema, inicio y cierre de sesión y opciones de seguridad de red.
  • Restricciones de software, basado en lo posible en el uso de listas blancas de software permitido más que en listas negras del mismo.
  • Activación de auditorías de sistema, claves para tener un registro de algunos intentos de ataque característicos como la adivinación de contraseñas.
  • Configuración de servicios de sistema. En este punto es necesario tratar siempre de deshabilitar todos aquellos servicios que no vayan a prestar una funcionalidad necesaria para el funcionamiento del sistema. Por ejemplo, si su equipo no posee tarjetas de red inalámbrica, el servicio de redes inalámbricas debería estar deshabilitado.
  • Configuración de los protocolos de Red. En la medida de lo posible, es recomendable usar sistemas de traducción de direcciones (NAT) para direccionar los equipos internos de una organización. Deshabilitar todos aquellos protocolos de red innecesarios en el sistema y limitar el uso de los mismos al mínimo. TCP/IP es un protocolo que no nació pensando en seguridad, por lo que limitar su uso al estrictamente necesario es imperativo.
  • Configuración adecuada de permisos de seguridad en archivos y carpetas del sistema. En la medida de lo posible, denegar explícitamente cualquier permiso de archivo a las cuentas de acceso anónimos o que no tengan contraseña. Un correcto set de permisos a nivel de carpetas y archivos es clave para evitar acceso no deseado al contenido de los mismos.
  • Configuración de opciones de seguridad de los distintos programas, como clientes de correo electrónico, navegadores de internet y en general de cualquier tipo de programa que tenga interacción con la red.
  • Configuración de acceso remoto. En caso de no ser estrictamente necesario, es bueno deshabilitar el acceso remoto. Sin embargo, cuando es necesario tener control remoto de la máquina, es preciso configurarlo de manera adecuada, restringiendo el acceso a un número muy limitado de usuario, restringiendo al mínimo las conexiones concurrentes, tomando cuidado en la desconexión y cierre de sesión y estableciendo un canal cifrado de comunicaciones para tales propósitos, como SSH.
  • Configuración adecuada de cuentas de usuario, tratando de trabajar la mayor parte del tiempo con cuentas de acceso limitado y deshabilitando las cuentas de administrador. Es absolutamente recomendable usar la impersonificación de usuarios para realizar labores administrativas en vez de iniciar sesión como administradores.
  • Cifrado de archivos o unidades según las necesidades del sistema, considerando un almacenamiento externo para las llaves de descifrado. Considerar además la opción de trabajar con sistemas de cifrado de mensajería instantánea y correo electrónico.
  • Realizar y programar un sistema de respaldos frecuente a los archivos y al estado de sistema. En la medida de lo posible, administrar los respaldos vía red o llevar los respaldos a unidades físicas que estén alejadas del equipo que las origina.

Fuente 

Saludos.
Lexer Pars.
******************************************************************************************************************************************************************************************************************************************************************************
******************************************************************************************************************************************************************************************************************************************************************************

sábado, 29 de marzo de 2014

Hardening I de III

El hardening es un proceso realizado en la seguridad informática, que busca asegurar los sistemas de una organización basándose en el principio de reducción de vulnerabilidades. Esto siguiendo un conjunto de reglas de borrado o eliminación de usuarios, servicios, software y demás elementos, dejando los sistemas en su operatividad con los elementos necesarios para funcionar correctamente de acuerdo a las políticas de seguridad sin contener elementos innecesarios que puedan ayudar a aumentar el riesgo de un incidente informático.

Figura 1: Algunos elementos del hardening.
 
Al realizar de hardening en los sistemas operativos de la organización no nos garantiza que los  sistemas serán invulnerables a algún ataque, pues siempre existen riesgos, como los 0 day, para lo cual poco se puede hacer al respecto, el hardening es solo un proceso mas en la seguridad informática que debe tenerse muy en cuenta, según el modelo de defensa en profundidad.

Para realizar el hardening hay que desarrollar una serie de configuraciones sobre los sistemas operativos, tomando en cuenta las necesidades y servicios de la organización como tal, para que tenga una correcta efectividad y no repercuta en la operatividad de la organización.

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
******************************************************************************************************************************************************************************************************************************************************************************

viernes, 28 de marzo de 2014

Cuidado con el estres

Hoy quiero dejare un video de humor informático y a la vez reflexionante sobre el ambiente de trabajo en muchas organizaciones que suele traer estrés a los empleados.

Compilación de situaciones por estrés

Aunque el video es verdaderamente gracioso, eso hace pensar y reflexionar sobre tratar de crear un ambiente agradable para los empleados, ademas de crear alguna política de seguridad que trate de mitigar los ataques de los empleados a el mobiliario de la organización al momento de sufrir una sobre carga de estrés.

Saludos.
Lexer Pars.

jueves, 27 de marzo de 2014

Web Application Firewall (WAF) (II de II)

Los WAF pueden implementarse de distintas maneras de acuerdo a la necesidad de la organización o necesidades que surjan de los distintos sistemas que deban de protegerse.  Las formas en que pueden configurarse los WAF son las siguientes:

  • Layer 2 Bridge: Este es el modo menos recomendado, pues funciona como un switch, proporcionando alto rendimiento, pero no provee de funciones avanzadas de protección.
  • Host/Server based: Al utilizar esta forma de implementación del WAF debe instalarse el software en el servidor web como tal, aunque hay no presenta complicaciones en cuestiones de configuración de red, es necesario tomar en cuenta la cantidad de trafico o carga que tiene dicho servidor, ya que una mala implementación puede tener repercusiones negativas en el servicio que se presta.
  • Network Monitor / Out of Band: En esta forma el WAF utiliza un sniffer que analiza todo el trafico de la red por un determinado puerto, esto es algo ideal, pues permitirá identificar trafico malicioso, y ademas se puede establecer un conjunto de reglas para bloquear una serie de trafico en especifico.  
  • Transparent Proxy: La utilización de este se basa en el uso de un proxy por el cual se realizan todas las peticiones a los servidores, aunque su implementación no representa muchos problemas, si padece paradas de servicio en su utilización, lo cual deja abajo la relación operatividad/seguridad. 
  • Reverse Proxy:  Su funcionamiento se basa en un proxy inverso. Esto nos obliga a hacer cambios en las tablas de DNS o NAT de los firewalls, de manera que el tráfico que antes iba a las granjas de los servidores web directamente, ahora se direccionará a nuestro nuevo dispositivo.
Aunque esta es solo una medida mas que se debería de implementar en las organizaciones, los atacantes siempre trataran de encontrar un punto a aprovechar para acceder a los sistemas e información. En el caso de que te encuentres en una consultoria puedes verificar si la organización esta implementando un WAF con la herramientas WAFWOOF, para retomar los vectores de ataque.

  Utilización de WAFWOOF


Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
******************************************************************************************************************************************************************************************************************************************************************************

miércoles, 26 de marzo de 2014

Web Application Firewall (WAF) (I de II)

El WAF es un elemento de seguridad que puede ser lógico o físico y que se implementa como intermediario entre los clientes que consumen algún servicio y el servidor que brinda dicho servicio, analizando todo el trafico entre estos, buscando patrones maliciosos empleados por los atacantes, por ejemplo, en una petición GET o POST que incluya sentencias como union, select, concat, etc.    

Ya que los corta fuegos tradicionales no permiten mitigar los ataques a aplicaciones o sistemas web, ha surgido la solución de corta fuegos de aplicación web que ayudan a mitigar los ataques como XSS, SQL Injection, entre otros a aplicaciones web. 

Figura 1: Esquema básico de implementación WAF.

Algunas productos de estos son el ModSecurity, Microsoft Url Scan, Imperva, Data Power, etc. Aunque esta medida de seguridad es ideal contemplarla, siempre debe de realizar una auditoria constantemente a los sistemas de la organización y por supuesto una auditoria previa a lanza cualquier servicio o sistema al publico.  

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
******************************************************************************************************************************************************************************************************************************************************************************

martes, 25 de marzo de 2014

Footprinting(II de II)

El proceso de recopilación de información suele ser una tarea bastante agotadora si la organización contiene mucha información, además de la recolección de toda la información, sigue el proceso con el análisis de dicha información, de tal forma que se deba filtrar para elaborar vectores de ataques posteriores.
Para facilitar un poco la tarea en esta etapa, se han desarrollado diversas herramientas que permite extraer información de una organización, además de analizar dicha información, por supuesto algunas herramientas son mas eficientes en algunos módulos mas que otras, el hecho es que el uso de estas herramientas de forma conjunta facilita en gran manera la tarea. Algunas herramientas son Anubis, Foca, Email harvesting y algunos módulos mas de metasploit, entre otras herramientas populares.

Aunque las herramientas realizan un enorme trabajo, siempre es bueno, realizar una tarea de forma manual, utilizando las mismas tareas, pero de forma no automatizada, utilizando estas herramientas de forma paralela, pues aunque las herramientas son muy buenas, en ocasiones suelen saltarse información importante que pasan por alto o que aun no soportan.

Por ello, es recomendable usar ambas formas, ya que una te permite avanzar y diluir un poco la enorme tarea que representa esta etapa, y la forma mecánica te ayuda a extraer toda esa información que el software o no soporta o que en algunas ocasiones se salta y que puede darte las llaves de acceso a sistemas o vectores de ataque que te sean de utilidad cuando audites tu organización.

Saludos.
Lexer Pars
******************************************************************************************************************************************************************************************************************************************************************************
Footprinting(I de II)
Footprinting(II de II)
******************************************************************************************************************************************************************************************************************************************************************************
  

lunes, 24 de marzo de 2014

Footprinting(I de II)

El footprinting es una etapa de las auditorias de seguridad de sistemas que debe realizarse, tanto si se es administrador de los sistemas de determinada organización, como si se trabaja en consultorías de seguridad informática.

Aunque en muchas ocasiones los administradores de las organizaciones suelen pasar por alto esta etapa y se limitan a evaluar los sistemas y personal desde un punto de vista interno, dejando por fuera muchas amenazas, esto es un grave error, ya que puede que los sistemas de la institución estén alojados en un servidor de terceros y que pueda existir fallas en este servidor que permitan atacar de forma indirecta el sistema
Esta técnica permite recolectar información que suele ser publicada conscientemente por la organización y en otras ocasiones la información publicada es de carácter confidencial, pero por descuidos esa información puede ser publica y consultada por cualquier persona. Al momento de recabar información es necesario aplicar un conjunto de técnicas para lograr acabo esta etapa.
  • Buscar información publicada en internet de la organización utilizando hacking con buscadores, para ello se pueden utilizar buscadores como yahoo, google, bing, shoddan, etc. Con esta técnica puede obtener mucha información, desde acceso a sistemas de una intranet, metadatos nos permitan saber que sistemas operativos utilizan las empresas, los nombres de usuario de los empleados, acceso a servicios desprotegidos que utilizan seguridad por oscuridad, encontrar mas sitios alojados en un mismo servidor, detectar posibles vulnerabilidades, etc.
  • Buscar subdominios.
  • Consultar el whois, para determinar quien es el propietario de un determinado dominio.
  • Fuzzeando webs.
  • Obtener información de los DNS.
Una vez que se reúne toda esta información se procede a clasificarla y analizarla para poder preparar vectores de ataque, aunque en algunas situaciones la información obtenida brinda acceso de forma directa a algunos sistemas.
Saludos.
Lexer Pars
******************************************************************************************************************************************************************************************************************************************************************************
Footprinting(I de II)
Footprinting(II de II)
******************************************************************************************************************************************************************************************************************************************************************************
  

domingo, 23 de marzo de 2014

Reboot

Hoy tras un merecido descanso he disfrutado de mucha comida chatarra y una buena película sobre hacking, que quiero compartirles y que seguramente a muchos les encantara pues contiene algunos proceso que son reales, aunque algunos otros son ficción, si que se incluyen varias técnicas y herramientas utilizadas en el día a día se la seguridad y eso hace mas familiar la película e interesante.
 
 
 
 
Saludos.
Lexer Pars.

sábado, 22 de marzo de 2014

Ataque de spam por sms

Algo muy común en las empresas de telecomunicaciones que brindan el servicio de telefonía, son los mensajes o llamadas ofreciendo productos o servicios que en la mayoría de los casos no son deseados por los clientes y que después de un cierto tiempo tiende a tornarse algo molesto.
 
En el día de hoy esto me saco de mis casillas, pues recibí 5 mensajes en menos de 2 minutos de publicidad por parte de la empresa que me brinda el servicio y esto ocurre todos los días de forma muy frecuente, así que busque un software que operara al menos con una lista negra, para bloquear remitentes concretos, aunque hubiese sido ideal encontrar un software que funcionase de forma hibrida, con listas negras y con heurística para la detección de ciertos mensajes o llamadas no deseadas.
 
  Figura 1: Aplicación  Mr, Number, para bloquear llamadas y sms. 
 
La aplicación que instale en mi android fue Mr. Number, con el cual se puede establecer una lista negra de los remitentes que se deseen bloquear ya sea llamada telefónica, mensaje de texto o ambos. Aunque hay varias aplicaciones muy buenas, de pago y gratuitas, tanto para android, como para otras plataformas, es de gran ayuda tanto para mitigar el spam en nuestro móvil.

Si estas cansado de recibir spam en tu móvil, puedes utilizar alguna de estas aplicaciones que te ayudara a mitigar este ataque.

Saludos.
Lexer Pars.

viernes, 21 de marzo de 2014

¿Como saber si tu cuenta ha sido pirateada?

Tras las malas practicas que muchos usuarios tienen respecto de la seguridad, suelen aplicar la regla de los 3 mosqueteros en los servicios que utilizan, y al momento de que por alguna razón es comprometida la seguridad de alguna de las cuentas, obtienen acceso a todos los demás servicios en cuestión.
 
El sitio haveibeenpwned permite conocer si alguna cuenta de Yahoo, Adobe, Snapchat, Bell, Sony, Vodafone, entre otras ha sido pirateada, únicamente ingresando el nombre de usuario o correo de la cuenta en concreto.
 
Figura 1: Sitio haveibeenpwned.
 
Deberías de consultar si en algún momento alguna de tus cuentas ha quedado comprometida y de ser así, cambia la contraseña si aun no lo has realizado.
 
Saludos.
Lexer Pars. 


jueves, 20 de marzo de 2014

Amenaza Ciberguerra y Ciberterrorismo

Hoy te traigo un excelente documental sobre como ha evolucionado la guerra y el terrorismo abarcando ahora el tan preciado espacio virtual en donde se libran las nuevas batallas campales y que sin duda es la revolución tecnológica la que ha marcado un mayor impacto por lo que representa y contiene.
 
Amenaza Ciberguerra y Ciberterrorismo  
 
Saludos.
Lexer Pars.

miércoles, 19 de marzo de 2014

Coloquio Mitos y Realidades en Hacking

Hoy tras un día pesado y muy agotador en el que he tenido tiempo apenas para respirar quiero compartirles un buen panel de expertos de la seguridad que hablan sobre los mitos y realidades del hacking, que para muchos que se dejan llevar por la ficción o por falta de conocimiento del tema suelen desviarse o creer cosas que no son del hacking.
 
Ya les compartiré en estos días las cosas nuevas que he estado aprendiendo con los libros de seguridad informática con los que estoy liado actualmente y se los cuales ya he adquirido conocimientos nuevos, aunque últimamente he estado envuelto en varios proyectos de negocio, metas y demás que me abarcan mucho tiempo, siempre aprendo algo de seguridad todos los días, así que no desesperes que ya integrare mas conocimiento al blog que podrás disfrutar.
 
 
 
Panel de expertos de seguridad
 
 
Saludos.
Lexer Pars.

martes, 18 de marzo de 2014

Problemas con compra de ordenador de usado!

Hoy un amigo me ha llamado para que revise un ordenador que acabo de comprar, el cual es de segunda o mano o usado y  el ordenador lo compro en un momento de desesperación y dejadez motivado por una emoción o sorprenderse por algunos detalles exteriores del portátil.
 
Lo cierto es que cuando empecé a revisar el ordenador encontré muchas fallas graves desde teclas sin funcionar, hardware dañado, malware, sistemas operativo pirata, y por encima de ello, el costo por el cual adquirió el ordenado hubiese obtenido uno con mejores características y mejores condiciones.
 
Ahora mismo ha quedado decepcionado después de la conclusión que le he dado sobre el equipo, y de que el mismo ha se ha dado cuenta que el ordenador esta en muy mal estado. Por ello he aprovechado este post para dejarte una recomendación cuando realices compra de equipo informático ya sea nuevo o usado, si no conoces mucho de tecnología es recomendable que busques a alguien que pueda acompañarte y ayudar a elegir de forma adecuada y segura el equipo que utilizaras.
 
Si eliges un equipo nuevo, pues debes evaluarlo y elegirlo según las tareas que desarrollaras en el, ya que por ello muchos usuarios se quejan de que el ordenador es muy lento y no funciona de forma adecuada, ya que el ordenador no es el acorde para las tareas que debería de realizar y por supuesto si vas a comprar un ordenador usado, asegúrate de evaluarlo para encontrar desperfectos que al final puedan tomarte por sorpresa y estés pagando demás por un equipo que no lo vale. Y si sabes de tecnología, acompaña a tus amigos, familiares o conocidos cuando puedas, para ayudarlos a elegir un ordenador decente y que después no sufran por estos problemas.
 
Saludos.
Lexer Pars.
 
 
   

lunes, 17 de marzo de 2014

Protege tus archivos pst

Hoy he terminado una auditoria de 4 días que me ha dado en principio muchos problemas, pues el cliente deseaba evaluar la seguridad global de su organización y que verdaderamente puedo decir que habían invertido mucho dinero y tiempo en asegurar los sistemas y el personal que opera con ellos.
 
Empecé a recabar información de la organización sin encontrar muchas opciones por donde atacar, la organización cuenta con una tienda online y algunos sistemas que se operan desde la intranet, pero que se acceden vía VPN, en principio desconocía totalmente este hecho.
 
Tras muchos intentos y darle vuelta a toda la información recopilada intente realizar un ataque de fuerza bruta a un servidor ftp con el que contaban, pero para mi mala suerte, el servidor me rechazo a los tres intentos, la tienda online, ni se diga, la analice de pies a cabeza tratando de encontrarle una falla que me permitiera colarme pero tampoco logre nada.
 
Dentro de algunos archivos que encontré de forma publica utilizando google hacking, encontré algunos correos electrónicos de empleados de la organización, así que me arriesgue a lanzar un ataque de ingeniera social contra cada uno de los empleados que tenia listados. Con cada uno varia el vector de ataque, siempre utilizando la ingeniería social.
 
Con algunos empleados, envié un troyano en formato exe, indicando un mensaje de parte del jefe que los obligara a examinar el fichero, ha algunos otros les envié un PDF infectado y por ultimo algunos otros recibieron un enlace con un sitio web infectado. Tras esperar 1 día y 4 horas un empleado de trece mordió el anzuelo. Logre acceder a una estación de trabajo de la organización. Tras una búsqueda intensa de información que me ayudara avanzar, no encontré mucho. 
 
Revise los logs que tenia del keylogger, que incluye el troyano, y el usuario trabajaba con Outlook, así realice una copia de los archivos PST alojados, ya que habían cinco archivos, de todos ellos, había uno muy jugoso de 3.5 GB, donde había correos desde el 2009 a la fecha.  Después de tener los ficheros, empecé a analizar la información con PSTViewer.
 
         Figura 1: Analizando ficheros PST.
 
 
Llegado a este punto empecé a encontrar contraseñas y usuarios, tanto de los sistemas como de la VPN, a partir de esto me abrí paso por los sistemas de la organización. Aunque el ataque de ingeniería social, me abrió una gran brecha en la organización, toda la información sensible y necesaria me la brindo el archivo PST.  
 
Si no has asegurado tus archivos PST, es hora de que empieces a asegurarlos primeramente de forma local, y luego establezcas políticas que te permitan asegurarlos ante la presencia de un pirata informático.
 
Saludos.
Lexer Pars.   

domingo, 16 de marzo de 2014

Historia de los hackers (Documental)

Hoy después de un laborioso día Domingo, casi finalizando por fin puedo descansar, y he de decir que hoy no he tenido la dicha de estar frente al ordenador, pero ahora mismo descansare disfrutando este documental, de la historia de los hackers, los comienzos y las leyendas que al parecer pasan de generación en generación. Espero disfrutes del documental.


Saludos.
Lexer Pars.

sábado, 15 de marzo de 2014

Seguridad por oscuridad (III de III)

Aunque los fundamentos parecen pintar de lo mas bonito siempre, en la practica mantener libre los secretos de la organización de atacantes es algo muy difícil de lograr, ya sea porque la organización tenga productos o servicios que contiene fallas y que mantienen esta información oculta, para mantener un prestigio de estos o de la imagen corporativa de la organización.

El hecho es que un secreto nunca dura para siempre y esto se puede apreciar en el día a día, cuando surgen atacantes por ejemplo de cracking de software que utilizan esta medida de seguridad para validar algún código que permita utilizar el software y eliminar el periodo de prueba.

Desde mi punto de vista, la seguridad por oscuridad es una perdida de tiempo, pues, deja por un lado verdaderamente los principios de seguridad, ya que la seguridad no debe depender de que un atacante desconozca un fallo, si no por la rigidez que adoptan todas las medidas de seguridad implementadas para el resguardo de las activos de la organización. 

Aunque sin duda habrá quienes estarán a favor de la seguridad por oscuridad, con los fundamentos ya comentados, asi que tu mismo saca tus conclusiones sobre si este modelo de seguridad merece ser adoptado.


Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Seguridad por oscuridad (I de III)
Seguridad por oscuridad (II de III)
Seguridad por oscuridad (III de III)
******************************************************************************************************************************************************************************************************************************************************************************

viernes, 14 de marzo de 2014

Seguridad por oscuridad (II de III)

Argumentos contra la seguridad por oscuridad

Los argumentos en contra de este modelo de seguridad son los mismos con los cuales muchos afirman que este tipo de modelo es muy bueno y se consiguen buenos resultados.

Basándose en el principio de que todo se mantenga oculto, desde documentación, diseños de sistemas, políticas, fallas, acceso a servidores, cambio de puertos, vulnerabilidades y cualquier objeto o elemento dentro de la organización de forma que saltarse esa medida puede en teoría ser complicado para un atacante.

Ejemplo Wikipedia:
Por ejemplo, podría pensarse que esconder una copia de la llave de la casa bajo el felpudo de la entrada sería una buena medida contra la posibilidad de quedar uno atrapado fuera de la casa, por culpa de un olvido o pérdida de la llave de uso habitual. Entonces estaríamos fiándonos de la seguridad por ocultación. La vulnerabilidad de seguridad teórica sería que alguien pudiera entrar en la casa abriendo la puerta con la copia de la llave. Sin embargo, los dueños de la casa creen que la localización de la llave no es conocida públicamente, y que es improbable que un ladrón la encontrara. En este ejemplo, dado que los ladrones suelen conocer los escondites frecuentes, habría que advertir al dueño de la casa contra esta medida.    

El hecho de mantener en secreto algo, no significa que alguien por medio de intentos pueda saber dicho secreto, o puede en algún momento existir fuga de información, el problema es que una vez se conozca una falla un atacante prácticamente tendrá libre el paso en toda la organización.

Aunque los fundamentos para algunos son una biblia que les permite mantenerse firme utilizando este modelo de seguridad, aunque en la practica es modelo implica aun mas cosas a tomar en cuenta, como veremos adelante.

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Seguridad por oscuridad (I de III)
Seguridad por oscuridad (II de III)
Seguridad por oscuridad (III de III)
******************************************************************************************************************************************************************************************************************************************************************************

jueves, 13 de marzo de 2014

Seguridad por oscuridad (I de III)

La seguridad por oscuridad es una arquitectura o modelo de seguridad que suele implementarse en organizaciones y que en la actualidad existe un debate sobre ello, ya que algunos están a favor sobre su implementación y otros piensan que es una perdida de tiempo y lo único que se logra es arriesgar los activos de la organización.

Figura 1: La seguridad por oscuridad se basa en la ocultación o secreto.

La seguridad por oscuridad se basa en el principio es ocultación o secreto, es como el clásico juego de las escondidillas, se enfoca en esconder o ocultar cualquier información, elemento, etc que permita que un atacante pueda aprovecharlo, para atacar los sistemas de la organización. 

Por ejemplo el hecho de tener un conjunto de vulnerabilidades y no hacerlas publicas o esconder el código fuente de un software, protocolos,etc., asumiendo que por el hecho de que en teoría nadie conoce de su existencia, ello evitara que alguien pueda acceder a el recurso que se mantiene en secreto.

La seguridad por oscuridad incluso esta por debajo de la arquitectura R&D, pero hay quienes fundamentan que la seguridad por oscuridad es buena y tiene buenos resultados en su implementación, para ello hay que evaluar dichos fundamentos y ponerlos a prueba, analizarlos detenidamente y verificarlos, aunque claro, cada quien tendrá su opinión al respecto con el tema, pero mas adelante podrás sacar tus conclusiones.

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Seguridad por oscuridad (I de III)
Seguridad por oscuridad (II de III)
Seguridad por oscuridad (III de III)
******************************************************************************************************************************************************************************************************************************************************************************
 

miércoles, 12 de marzo de 2014

Evita la seguridad R&D

En muchas organizaciones se suele encontrar una arquitectura de seguridad R&B, robusta por fuera, pero débil por dentro, en la cual se invierte mucho dinero para asegurar la organización desde afuera, aunque por dentro las medidas de seguridad sean vagas. Si bien es cierto los atacantes pueden ser internos y externos, la probabilidad de que un ataque sea perpetrado desde la red interna es muy alta y por supuesto no puede descartarse que algún buen atacante logre burlar una arquitectura R&D. 

Figura 1: Huevo, analogía se la seguridad R&D.

La seguridad R&D se puede ver de forma analógica como un huevo, para al cual unicamente se cuenta con una fortaleza o cascaron que nos protege de las amenazas que están en el exterior. Todo marcha bien, siempre y cuando alguien no logre romper el cascaron, ya que si alguien lo hace, tendrá el camino libre dentro de la organización. Ya que la seguridad interna estará gestionada muy pobremente y por lo tanto no habrá mayor complicación o medidas de seguridad que impidan que un atacante logre sus objetivos.

Hace tiempo pase por una experiencia con una empresa, en la cual trabajaban con esta arquitectura, aunque violar la seguridad externa fue algo complicado pero no imposible, una vez alcanzado ese punto me encontré con configuraciones garrafales en las estaciones de trabajo y servidores que todo parecía ridículo, como decir que cada empleado utilizaba el ordenador con cuenta de administrador y sin ningún sistema anti-malware, aunque existían muchísimas configuraciones pésimas y muchas fallas por donde tirar, al final de la auditoria, toco hacer una modificación de arquitectura a R&R, robusta por fuera y robusta por dentro.

Nunca te fíes de un cascaron como seguridad para tu organización ya que puede haber un muy buen atacante que pueda saltarse la seguridad externa de tu organización y después de esto, seras una presa fácil, y por supuesto, una arquitectura R&D puede protegerte de atacantes externos, pero jamas de los internos, así que, es bueno que analices si trabajas con esta arquitectura de seguridad, si trabajas con esta, ya es hora que hagas unos cambios radicales.

Saludos.
Lexer Pars.             

martes, 11 de marzo de 2014

Noche de cine.. Conspiración en la red

Hoy después de un día tremendamente agotador he llegado a casa deseando relajarme un poco y dejar de lado las tareas por un momento y que mejor que disfrutando de una buena película, como lo es conspiración en la red, que como es de costumbre esta enteramente relacionado con la informática.  

Así que hoy no hay pretexto para tomarte un descanso, disfruta un momento y luego vuelve al trabajo.



Saludos.
Lexer Pars.

lunes, 10 de marzo de 2014

Examen de seguridad de la información

Mañana tengo el primer examen del curso de seguridad de la información, aunque el examen sera totalmente teórico he de decir que hay bastante material del cual se puede extender mucha mas información. Aunque algunos temas ya los he tratado en el blog, varios de forma teórica/practica, otros de forma teórica, hoy les dejare un resumen de los temas que hemos visto durante el curso y que seguro hay cosas de las que puedes profundizar.

Partiendo de lo mas importante que es definir conceptos básicos de seguridad,con el fin de diferenciar términos como amenazas, ataques, riesgo, impacto, etc y comprender como estos se relacionan entre si y como la seguridad debe preservar la integridad, confidencialidad y disponibilidad de la información manteniendo un balance entre la operatividad/seguridad.

Ademas tratamos sobre el tema de hackers, como estos se clasifican y de la polémica que existe de diversos autores, también sobre ataques de defacement, como estos se realizan y que daños pueden ocasionar. La etapa para implementar la seguridad informática, consiste en establecer métodos y mecanismos diseñados para que los sistemas de información sean seguros, algunos mecanismos utilizados son los corta fuegos, los sistemas para la detección de intrusos, sistemas anti-malware, copias de seguridad, cifrados, certificados, auditorias, etc., apegados a un conjunto de políticas de seguridad establecidas acorde a las necesidades de la organización.

Algo verdaderamente importante es el hecho de tener métricas que permita establecer un nivel o estado de seguridad bajo el cual se encuentra una organización, las métricas de seguridad son las medidas de eficacia de los esfuerzos que una organización ha realizado durante una linea de tiempo y para poder realizar estas métricas existen modelos de madurez, como por ejemplo:

  1. SSE-CMM, el cual esta orientado en ingeniería  de seguridad y desarrollo de software y cuenta con cinco niveles de madurez progresiva; 1 Realizado informalmente, 2 Planificado y perseguido, 3 Bien definido, 4 Controlado cuantitativamente, 5 continuamente mejorado.
  2. COBIT, Centrado en procedimientos específicos de auditoria, sus cinco niveles de madurez  progresiva son; 1 Inicial/adhoc, 2 Repetible pero intuitivo, 3 Proceso definido, 4 Gestionado y  5 medible y Optimizado.
Existen mas modelos de madurez, pero la implementación de algunos de estos dependerá exclusivamente de la organización, los fines y objetivos que esta tenga.

Dentro de los procesos de la seguridad informática se tiene el control de acceso, en el cual se busca gestionar los permisos que tiene un usuario o grupo de usuarios sobre determinados objetos, para ello se hay diversas medidas que pueden implementarse, tanto de forma lógica, física como híbrida, como por ejemplo la implementación de sistemas biometricos para el acceso a un área determinada dentro de la organización, establecer un lista de control de acceso o ACL o solución similar, etc. Contingencia, que es todo lo concerniente al conjunto de medidas o planes desarrollados con el fin de implementarlos solo en caso de que ocurra un evento o catástrofe, es decir, cuando una amenaza se materialice y ocasione alguna perdida en la organización, los planes de contingencia ayudan a mitigar los daños y permiten una rápida recuperación ante ese evento, como por ejemplo la implementación de copias de seguridad, que seguro que te evitaran dolores de cabeza, cuando sufras algún tipo de perdida. Atención contra accidentes, esta bastante ligado con la contingencia, pues trata sobre la preparación con la que se cuenta en la organización para superar cualquier eventualidad sobre alguna perdida o daño contra algún activo de la organización.   

Antes de establecer los procesos de la seguridad informática debe de tomarse en cuenta el aseguramiento técnico y de personal ya que los proceso de la seguridad informática están relacionados con personas, negocios y tecnología, y debe existir una gestión del conocimiento, rotación de responsabilidades, gestión de errores, gestión de la documentación y ver el plan de seguridad informática como un trabajo continuo. El aseguramiento técnico se enfoca en todos los dispositivos y aplicaciones que nos permiten y ayudan a gestionar la seguridad en la organización y el aseguramiento de personal, esta dirigido a la cultura de seguridad por parte de los usuarios de la organización.

    Figura 1: Pirámide de los procesos de la seguridad informática.

La pirámide anterior define como se relacionan los procesos de la seguridad informática en los niveles estratégico, táctico y operacional de una organización, en el nivel estratégico se encuentran las políticas, pues es donde se especificara que es lo que se hará para proteger los activos de la organización, en el táctico residen las directrices de la organización,  es donde se definirán responsabilidades, es decir quien se encargara o actuara ante ciertos eventos y en el nivel operacional se encuentra el como se lograra cumplir con los dos anteriores, mediante un conjunto de normas y procedimientos.        

Otra forma de ver la seguridad informática mediante un proceso en si, es basándose en dos modelos:

  1. El primer modelo contiene las directrices estratégicas, los controles operacionales y formación del personal.
  2. El segundo consta de cuatro fases, basados en el circulo de Deming, Evaluación(Planear), Diseño(Hacer), Chequear(Verificar) y Actuar.    
Por supuesto no se puede dejar pasar por alto los campos de acción bajo los cuales se divide la seguridad informática, que son técnicas de seguridad, seguridad informática forense, seguridad física,etc. La utilización de software para mitigar y gestionar la perdida de datos.     

Y el tema de riesgos, donde el riesgo se puede calcular por medio de la formula, riesgo = probabilidad de amenaza * magnitud del daño. Así como los distintos riesgos que hay: Operativo, Financiero y tecnológico.

  
Saludos.
Lexer Pars.

domingo, 9 de marzo de 2014

Cracking

Como en todas las cosas de la vida, en la informática esta lo bueno y lo malo, aunque todo conocimiento es bueno, el hecho de practicar ciertas técnicas con fines no éticos, define la pertenencia a un grupo de estos. El cracking se enfoca en toda actividad delictiva que conlleva realizar algún tipo de alteración sobre software, información o hardware, con fines maliciosos, ya sea por perjudicar la imagen de una organización, obtener algun beneficio económico, etc.

Aunque quien practica el cracking, se le suele denominar cracker, existen una polémica sobre esto, pues algunos autores prefieren hacer un uso mas categórico para clasificar a los ciberdelincuentes y hackers o profesionales de la seguridad, según el área al que pertenecen o practican.

Propiamente el cracking puede enfocarse a romper contraseñas, sistemas y software. Como el hecho de que en algún momento encuentras algún hash de una contraseña, que permite acceder aun sistema, pero esta cifrada con algún algoritmo, como md5, el proceso por el cual se realiza un ataque de fuerza bruta, ya sea con diccionario o sufijos, es el proceso de cracking de contraseñas.      

Figura 1: Crackeando contraseña de red wifi. 

También es practicado al software, como pueden ser la eliminación de protecciones o medidas de seguridad implementadas por los fabricantes, ya sea al promocionar alguna versión de prueba del producto, sacando códigos de software, cuando estos están incrustados o encodeados en el  software o alterar el funcionamiento de un sistema, para saltarse algunas medidas de seguridad de acceso, entre otros. Para ello es necesario apoyarse de la ingeniería inversa.

Figura 2: Proceso de ingenieria inversa aplicado al cracking.

Y el cracking aplicado al hardware, en sus extensas opciones, como lo puede ser un ataque a una caja de seguridad que son ataques muy comunes, y estos tipos de ataques son expuestos muy a menudo en películas, pero que es algo bastante común, como las técnicas expuestas en la DEFCON, pero el alcance de estas practicas puede ir mas allá de lo que se pueden pensar y que día a día crece, a mi parecer el cracking es un proceso que debería ser incluido en toda empresa, con el objetivo de determinar la calidad de los productos que facturan, aunque la seguridad no es total, se puede hacer un esfuerzo por mejorarla.

     Figura 3: Cracking a caja fuerte.

Saludos.
Lexer Pars.



   

sábado, 8 de marzo de 2014

Un conjunto de libros gratuitos que debes de leer!

Hace tiempo que he ingresado al foro de hackxcrack, en donde hay mucha información que es de calidad y que dicho foro es de gran utilidad para todo aquel que quiera ingresar al mundo de la seguridad informática, desde los principiantes hasta los mas avanzados encontraran algo nuevo para aprender y por supuesto aportar a la comunidad.

En el foro desde ya hace bastante tiempo que se han publicado libros o guías sobre técnicas hacking, y que a día de hoy aun se siguen publicando, hay variedad de libros enfocados a diversos temas de seguridad y informática, que deberías de incluir en tu biblioteca personal.

Figura 1: Algunos de los libros disponibles en el foro.

Puedes visitar el foro y bajarte los libros totalmente de forma gratuita y poner en practica todos esos conocimientos e ir explorando en el foro, que siempre hay temas muy interesantes de los cuales seguramente habrán algunos que desconocerás y podrás investigar a partir de ahí.

Saludos.
Lexer Pars.

viernes, 7 de marzo de 2014

Asalto Final, pelicula hacker

Ya hace tiempo que he visto esta película y que seguramente ya muchos habrán disfrutado y que a mi parecer es una muy buena película, basada en hechos reales, sobre la vida del famoso hacker Kevin Mitnick.
 
Como hoy he regresado muy agotado después del Gym, he prendido la PC y veré esta película para relajarme un poco y divertirme viéndola, y venga te invito a que la veas que es una excelente película.
 
Película Asalto Final
 
Saludos.
Lexer Pars. 

jueves, 6 de marzo de 2014

Buenas y malas practicas de seguridad

En la seguridad de la información hay un conjunto de buenas practicas que deben aplicarse, pero tomando en cuenta un balance correcto entre las buena practicas que permiten una buena operatividad en la organización, así como aquellas malas practicas que repercuten de forma negativa en la misma.
 
Por ello quiero dejarte una charla sobre estas practicas impartidas por Tobías Díaz en la cual se incluyen muchas de las buenas y malas practicas que tanto se deben se asumir con evitar respectivamente.
 
Charla sobre buenas y malas practicas en la seguridad.
 
 
La charla es un poco extensa aunque no demasiado, y se tocan temas muy importantes que deben de tomarse en cuenta, así que no dejes de echarle un vistazo y determina que practicas buenas y malas has estado aplicando y corrige lo malo antes de que tengas efectos negativos en la seguridad de tu organización.
 
Saludos.
Lexer Pars.
 

miércoles, 5 de marzo de 2014

Los metadatos pueden ser tus enemigos!

Los metadatos, son datos que describen a otros datos, y pueden encontrarse en los ficheros. El problema de estos datos es que no son visibles al usuarios y suelen pasar desapercibidos y que pueden revelar información interna de la organización. Y el tema de los metadatos viene a mi, porque hace tiempo en la Universidad un catedrático me consulto como podría determinar si algún trabajo o tarea virtual era una copia, o si el estudiante había dedicado tiempo a dicha tarea. Pues la solución fue muy sencilla, y era consultar los metadatos de los documentos.
 
Al extraer dichos metadatos, se encontraba que Fulano había hecho la tarea y se había dedicado al rededor de 8 horas para dicha tarea, y luego aparecían algunas tareas, donde era exactamente el mismo documento, pero modificado por mucho mas usuarios. Esto claro repercutió de forma negativa a los estudiantes. Pues el catedrático con base en ese análisis forense realizado extrayendo los metadatos de los documentos, asigno notas y al haber reclamos presento la base que respaldaba sus acciones.
 
Por supuesto, en las organizaciones el asunto camina de forma de diferente, y el hecho es que un documento puede contener en los metadatos mucha información, que puede permitir a un atacante preparar un vector de ataque contra la organización, pues en los documentos se encuentra información como, cuando se creo el fichero y quien lo creo, que software utilizo para crearlo, si ha sido modificado, cuando se modifico y quien lo modifico, donde se almaceno, etc., que pueden darle a un atacante la oportunidad de saber que software utilizan en la organización y examinar si hay alguna vulnerabilidad para dicho software. Buscar con suerte algún enlace a una intranet o un sistemas de la organización, obtener nombres de usuario de los empleados y que muchas veces se asocia este usuario a un conjunto de servicios y recursos de la organizaciones que los empleados pueden disponer.
 
En internet hay muchos documentos públicos y que son publicados sin previamente haber eliminado todos los metadatos, por ejemplo baje un documento sobre el reglamento de sanciones, publicado por el Ministerio de la defensa de Guatemala y al extraer los metadatos, los usuarios que han modificado el documento, creación del mismo, fecha de impresión, sistema operativo, aplicación con la cual se creo, direcciones donde se almaceno, y un historial de modificaciones.
 
Figura 1: Metadatos de documento publico.
 
 
Figura 2: Metadatos de documento publico, historial de edición.
 
Para extraer los metadatos hay una gran cantidad de software disponible, puedes hacerlo online, con la foca online, actualmente soporta bastantes formatos, y seguro que te ayudara a verificar los metadatos de tus ficheros.
 
Y ahora no olvides que antes publicar algún fichero por internet, o trasladar un documento, debes de limpiar los metadatos, ya que estos pueden ser tus enemigos si no los sabes gestionar.
 
Saludos.
Lexer Pars.
 
 

martes, 4 de marzo de 2014

Un backup puede ahorrarte muchos dolores de cabeza!

Hoy cuando estaba en el curso de seguridad en la Universidad, quise consultar unos documentos que siempre llevo a todas partes conmigo, y no pienses nada malo, que son puros documentos de seguridad y bases de datos, que en mis tiempos libres dedico a leerlos y estudiarlos. Me llevo una sorpresa muy desagradable al intentar acceder a ellos, recibí el mensaje "La tarjeta SD esta vacía o su sistema de archivos es incompatible", en principio no me genero mayor preocupación, y deje pasar el resto del día así.
 
Luego al volver a mi ordenador, llegue con todas las de ganar, queriendo encontrar cual fue la razón de tal error, y como ya tengo experiencia son fallas de ese tipo, pensé que me llevaría muy poco tiempo dar con el problema y solucionarlo. Pero con el paso de las horas, me fui preocupando, pensado lo peor, y es que la tarjeta SD se hubiera dañado. Después de ya estar varias horas aplicando todos los métodos y técnicas que conozco e incluso echando a prueba algunos trucos que recomiendan por algunos sitios en internet, he dejado temporalmente en paz, a mi vieja tarjeta SD, por suerte tengo algunas guardadas, para este tipo de eventos.
 
Aunque aun debo de examinar la tarjeta con mas detenimiento y darla por muerta verdaderamente, si es el caso que esta este dañada, recuperar los ficheros almacenados en ella será imposible, y aunque generalmente ocupo la tarjeta SD para llevar libros a donde voy, los últimos días he estado realizando algunas pruebas de seguridad sobre un sistema y llevaba varios documentos técnicos importantes, que por supuesto tenia una copia de seguridad de estos, pero muchos a día hoy no tienen conocimiento de las copias de seguridad y si lo tienen, no lo aplican, utilizando alguna política o realizando dicha tarea periódicamente. .
 
       Figura 1: Una perdida de información puede ocurrir por cualquier evento.
 
Por desgracia no podemos anticiparnos a que sucederá en el futuro, y que suceda algún evento que pueda generar un impacto negativo sobre ti o su organización, en la cual sufran algún tipo de perdida de información, ya que puede ocurra un desastre natural, un empleado despedido se robe los discos duros de algunas estaciones de trabajo, sufras un ataque de algún ciberdelincuente, etc., sea cual sea la razón, podemos prevenirnos ante estos eventos, manteniendo un backup o copia de seguridad actualizado, en lo personal, actualizo todas las noches mis copias de seguridad, ya que no puedo hacerlo durante todos el día.
 
 
Lo recomendable es hacer esta tarea diariamente, aunque suele ser un trabajo bastante pesado cuando la organización trabajo con grandes cantidades de datos, pero en definitiva, el tener al día tus copias de seguridad te ahorrara muchos dolores de cabeza.
 
Saludos.
Lexer Pars.

lunes, 3 de marzo de 2014

Definiciones básicas de técnicas métodos y herramientas de seguridad de la información

Mañana me toca clase de seguridad de la información y me han dejado una tarea, que si bien es bastante sencilla por el hecho de ser teórica, engloba muchos aspecto relevantes en la seguridad que se viven durante el ciclo de vida de la seguridad. Seguro que mas de algo de esto aun no lo has conocido, y vendría bien que le eches un ojo y investigues mas sobre los temas que desconozcas, pues en mi tarea incluyo bastantes aspectos a tomar en cuenta en seguridad defensiva y ofensiva. 


Técnicas de seguridad: Son todas aquellas herramientas, métodos y practicas de tecnología de seguridad implementadas acorde a un conjunto de políticas de seguridad que ayudan a proteger los activos de una organización. Dentro de algunas técnicas se pueden mencionar los siguiente:

Corta fuegos: Son sistemas que se pueden implementar a nivel físico, lógico o híbrido, con el objetivo de filtrar el trafico de red, permitiendo o bloqueando el paso de trafico sobre una estación de trabajo, un puerto determinado, una IP en concreto, etc.

Routers: Estos dispositivos, son útiles como técnicas de seguridad, ya que contienen funciones para la detección de ataques y registran eventos sobre este, algunos poseen corta fuegos y una gestión propia para establecer una DMZ, aunque la inclusión o exclusión de ciertas funciones dependerá del fabricante y modelo del dispositivo. 

Proxy: La utilización de un proxy permite controlar la navegación de los usuarios, por sitios permitidos únicamente, esto es verdaderamente útil, para evitar que el usuario acceda a sitios riesgosos que puedan poner en peligro la estación de trabajo y amenazar la red de la organización.

DMZ o Zona desmilitarizada, es una red perimetral que permite mantener a salvo la red corporativa de la empresa, mediante la utilización de uno o mas corta fuegos, aislando los servicios de la empresa, respecto de la red de la organización, de tal forma de que si alguno de los servidores en la DMZ es atacado, la red interna no correrá ningún riesgo.

Backups, las copias de seguridad son una obligación en toda organización, pues estos les permitirán recuperarse ante cualquier perdida de información, sea cual sea el evento que lo haya ocasionado.

Actualización de vulnerabilidades, esta técnica debe estar especificada dentro de las políticas de seguridad de la organización, que permitirá mantener los sistemas libre de los posibles fallos o bugs encontrados que puedan ser explotados por atacantes y comprometan dichos sistemas y la información que estos procesan.

Seguridad física, se refiere a todas aquellas medidas que se implementen para garantizar la seguridad física del edificio y los elementos que alberga de una organización, desde la implantación de un sistema de enfriamiento para los servidores, un sistema de suministro de energía eléctrica de emergencia, sistemas biometricos de acceso, etc.

Políticas de seguridad y plan te contingencia, Las políticas de seguridad con el conjunto de normas y estándares que se aplican en una organización, según la necesidad que esta tenga, donde se implementan un conjunto de técnicas de seguridad con el fin de salvaguardar los activos de la organización.

Virus informático, los virus informáticos o malware es todo aquel código malicioso que pretende causar algún daño en un sistema y claro esta en una organización, realizando un espionaje, robo de información, alteración de información, etc.

Criptografía, es la ciencia que se encarga de buscar la confidencialidad en la transmisión de mensajes, de tal forma que estos puedan ser leído únicamente por personas o dispositivo autorizados, valiéndose para esto de un conjunto de sistemas de cifrado y códigos que dejan un mensaje ilegible y puede ser traducido a su forma original con una clave.

Seguridad informática forense, es la encargada de investigar hechos o eventos sucedidos en dispositivos, sistemas, etc., utilizando un conjunto de técnicas y herramientas que permiten identificar cual fue la razón exacta que origino dicho evento.

Controlar la navegación de los usuarios. Para controlar la navegación de los usuarios, se pueden adoptar lagunas medidas de seguridad que permitan solo determinado trafico en la red, como el uso de un sistema PRAVAIL, implementar ACL y establecer una lista blanca dinámica, de que esta permitido, y para cualquier otro caso que bloquee el acceso, establecer un proxy con reglas de conexión. La cantidad de herramientas y soluciones que existen hoy en día es enorme, y todas ofrecen buenos resultados.

Establecer políticas que regulen el uso de aplicaciones y el acceso a estas. Las políticas del uso de aplicaciones deben garantizar que solo las aplicaciones de la organización y aquellas verdaderamente necesarias para un ambiente productivo estarán instaladas en las estaciones de trabajo y negando la instalación de cualquier otra aplicación no permitida, para ello, se pueden utilizar diversas soluciones, como watchguard, así como evitar dejar estaciones de trabajo funcionando con cuentas administrador, y evitar el arranque del sistema mediante algún medio, utilizando los dispositivos periféricos.  

Controlar la fuga de información, la fuga de información, puede ser producida por muchos factores, desde malas configuraciones, errores humanos, software mal desarrollados, etc. Para ello pueden utilizarse sistemas de prevención para la perdida de datos o información (DLP – Data Loss Prevention) para la cual hay soluciones como la de Systemanc, McFee, entre otros, y siempre verificar todos los sistemas y configuraciones constantemente de tal forma que se pueda identificar alguna fuga no detectada.
Sensibilizar a los usuarios de los problemas ligados con la seguridad informática. Esta es la parte mas complicada de la seguridad y lo veo como la mas importante, ya que no sirve de nada que una empresa invierta mucho dinero en tecnología para proteger sus activos, si los usuarios que interaccionan con dichos activos no tienen relación, ni participación con la seguridad. Lo ideal es capacitar a los empleados constantemente sobre los riegos que existen y enseñarles de forma gradual, que buenas practicas se están realizando y porque, además de detectar ataques contra el factor humano utilizando técnicas de ingeniería social.

Saludos.
Lexer Pars.

domingo, 2 de marzo de 2014

Social Engineering una lectura mas

Hoy he iniciado la lectura de nuevo libro, dedicado al arte del hacking humano o ingeniería social, es un libro que ha tenido un gran impacto en los últimos años y donde puede aprenderse mucho sobre los ataques perpetrados mediante un conjunto de técnicas que buscan de alguna forma engañar a los usuarios o empleados de una organización. 
 
La ingeniería social es una técnica que tiene ya muchos años de practicarse y que siempre suele tener muy buenos resultados, ya que las empresas suelen invertir mucho dinero en tecnología, pero olvidan capacitar a los usuarios que al final son los que interactúan con dichos sistemas, a detectar estos ataques y prevenirlos.
 
Figura 1: Portada del libro.
 
Conforme avance con las lecturas sobre este libro y extraiga mas conocimiento, lo iré compartiendo, ya que me parece de los mas bueno, y el índice esta bastante jugoso. Siempre es bueno enriquecernos con un buen libro, así que nada, cuando puedas búscate un buen libro y leerlo, buen inicio de semana!. 
 
Saludos.
Lexer Pars.