¿Cómo asegurar nuestros activos de información en ambientes de infraestructura Microsoft?

Quinto programa al aire, transmitido el 03 de Diciembre de 2012

Para nuestra grata sopresa no nos pudo ir mejor, tuvimos un gran invitado, él nos habló de cómo podemos asegurar nuestros activos de información en ambientes e infraestructura Microsoft.

Hablamos sobre metodología alineadas a ITIL como las que utiliza DOF, también temas relacionados a los problemas de los famosos ServicePack y sus complicaciones en entornos reales, también de WSUS y cómo centralizar nuestras actualizaciones reduciendo impactos en nuestro consumo de tráfico WAN,
sobre Bitlocker, DirectAccess, así mismo esperamos que para una futura invitación nos cuente un poco más de sus proyectos con "SCM" Security Compliance Manager, aplicacion que nos ayuda al cumplimiento de los estandares de seguridad de nuestros entornos corporativos.

Pues bien junto a mi amigo Carlos Colorado y el grupo COSEIN, les dejamos más información de contacto de nuestro invitado a la 5ta gala de la noche:

Tema	¿Cómo asegurar nuestros activos de información en ambientes e infraestructura Microsoft?
Nombre	Elias Mereb
URL	http://geeks.ms/blogs/eliasmereb
Twitter	@emereb
Links Interesantes	https://mvp.support.microsoft.com/defaul

Para escuchar la grabación del programa, lo puedes hacer desde la lista de reproducción.

Espero sus comentarios, sugerencias, críticas, todo lo que pueda ayudarnos a mejorar el programa y los esperamos los lunes a las 9:30 PM (-05:00 GTM)

El link del grupo en Facebook:

Foro	https://www.facebook.com/groups/cosein/
Página	https://www.facebook.com/coseingroup

Seguir Leyendo

4ta Edición COSEIN Radio

Cuarta Edición, transmitido el 26 de Noviembre del 2012 a las 9:30 PM

Sean todos bienvenid@s a esta su cita con la seguridad. Esto es Cosein Radio, en su 4ta edicion.

No sin antes darle las gracias a ustedes por acompañarnos todos los lunes a partir de las 9:30 de la noche

junto a mi amigo Carlos Colorado y el grupo COSEIN, ésta vez los temas y los invitados fueron los siguientes:

Tema	Técnicas de intrución mediante smartphone y cajas avandonables, Android Pentest, Forense IOS y WAF - Web Aplication Firewall
Nombre	Jaime Andrés Restrepo
URL	http://www.dragonjar.org
Twitter	@DragonJAR
Links Interesantes	- CloudFlare http://buff.ly/pubwP8 - Incapsula http://buff.ly/UQEJ7X

Para escuchar la grabación del programa, lo puedes hacer desde la lista de reproducción.

Espero sus comentarios, sugerencias, críticas, todo lo que pueda ayudarnos a mejorar el programa y los esperamos los lunes a las 9:30 PM (-05:00 GTM)

El link del grupo en Facebook:

Foro	https://www.facebook.com/groups/cosein/
Página	https://www.facebook.com/coseingroup

Seguir Leyendo

3ra Edición COSEIN Radio

Tercera Edición, transmitido el 19 de Noviembre del 2012 a las 9:30 PM

Sean todos bienvenid@s a esta su cita con la seguridad. Esto es Cosein Radio, en su 3ra edicion.

No sin antes darle las gracias a ustedes por acompañarnos todos los lunes a partir de las 9:30 de la noche

junto a mi amigo Carlos Colorado y el grupo COSEIN, ésta vez los temas y los invitados fueron los siguientes:

Tema	Motores de Base de Datos	Test de Penetración
Nombre	Mike Martos	Jhon Jairo Hernández
URL	http://www.facebook.com/groups/cosein	http://world-of-dino.blogspot.com
Twitter		@d7n0

Para escuchar la grabación del programa, lo puedes hacer desde la lista de reproducción.

Espero sus comentarios, sugerencias, críticas, todo lo que pueda ayudarnos a mejorar el programa y los esperamos los lunes a las 9:30 PM (-05:00 GTM)

El link del grupo en Facebook:

Foro	https://www.facebook.com/groups/cosein/
Página	https://www.facebook.com/coseingroup

Seguir Leyendo

Seguridad en Redes Sociales

Hace poco me invitaron a un Webinar donde tratamos el tema de:

"Seguridad en Redes Sociales",

En aquella oportunidad quise compartir con los participantes los detalles de inseguridad más resaltantes en este tipo de portales.

Aquí les comparto la presentación, espero les guste, así mismo agradecería muchísimo que acoten con sus comentarios para ir mejorándola.

Muchos saludos.

Seguir Leyendo

Segundo Programa COSEIN Radio

Segundo Programa, transmitido el 12 de Noviembre del 2012 a las 10:00 PM

Continuando con el rol de ‘Jugar al Radiolocutor’, pero orientado a una de las cosas que más me gusta: La Tecnología, logramos sacar nuestro segundo programa junto a mi amigo Carlos Colorado y el grupo COSEIN, ésta vez los temas y los invitados fueron los siguientes:

Tema	ITIL - Gestión de Servicio	Criptoanálisis
Nombre	Luis Quiroz	Siler Amador
email	luis.quiroz@tecnofor.pe	relisinc@gmail.com
URL	http://www.tecnofor.pe	http://190.90.112.209/http
Twitter	@TecnoforPeru

Para escuchar la grabación del programa, lo puedes hacer desde la lista de reproducción.

Espero sus comentarios, sugerencias, críticas, todo lo que pueda ayudarnos a mejorar el programa y los esperamos los lunes a las 9:30 PM (-05:00 GTM)

El link del grupo en Facebook:

Foro	https://www.facebook.com/groups/cosein/
Página	https://www.facebook.com/coseingroup

Seguir Leyendo

10 recomendaciones de seguridad TI que en verdad funcionan

Las amenazas a la seguridad TI evolucionan constantemente.

Es tiempo de que los profesionales de la seguridad TI agudicen su ingenio

La seguridad de la red y de los  endpoints  podrían no ser el primer lugar ha poner a prueba. Después de todo, la protección de los sistemas y los datos de la compañía debería considerar todas aquellas acciones que podrían significar riesgo. Pero las amenazas a la seguridad evolucionan constantemente, y en ocasiones uno tiene que pensar con un enfoque nuevo para mantenerse un paso delante de los ingeniosos malhechores.

Algunas veces uno tiene que parecer un poco loco.

Charles Babbage, el padre de la computadora moderna, una vez dijo “proponga a un hombre cualquier principio, o un instrumento, y aunque éste sea admirable, observará que todos sus esfuerzos se dirigirán a encontrarle una dificultad, un defecto, o alguna imposibilidad en él. Si le cuenta que hay una máquina que puede pelar una papa, le dirá que es imposible: si pela una papa frente a él, dirá que es un instrumento inútil porque no sirve para cortar en rodajas una piña”.

El mundo de la seguridad de las redes no es distinto. Ofrezca un nuevo medio de defensa TI y con seguridad experimentará resistencia hacia él. Aun así, en ocasiones, ir contra la ola del pensamiento tradicional es la manera más segura de llegar al éxito.

En ese sentido, le ofrecemos 10 ideas de seguridad que han sido -y en muchos casos aún lo son- consideradas demasiado excéntricas para funcionar pero que funcionan muy efectivamente en la seguridad de los activos TI de la compañía. Las empresas que emplean estos métodos no se preocupan de convencer o aplacar a los pesimistas. Ellas ven los resultados y saben que estos métodos funcionan, y que funcionan bien.

Técnica de seguridad No. 1: Renombrar los‘admins’

Renombrar las cuentas con privilegios a algo menos obvio que“administrador” es considerado una pérdida de tiempo,“seguridad a través de la obscuridad”. Sin embargo, esta simple estrategia de seguridad funciona. Si el atacante aún no ha penetrado su red o  host , hay pocas razones para creer que podrán discernir los nuevos nombres de sus cuentas con privilegios. Si no saben los nombres, no pueden montar una campaña de ‘adivinación’ de contraseñas exitosa contra ellos.

¿Qué más? Nunca en la historia del  malware  automatizado -las campañas que usualmente se generan contra las estaciones de trabajo y servidores- un ataque ha intentado utilizar otra cosa que no sean los nombres de cuentas incorporados. Al renombrar las cuentas con privilegios, uno puede vencer a los  hackers  y al  malware  en un solo paso. Además, es más sencillo monitorear y alertar de los intentos de  log on  en los nombres originales de las cuentas con privilegios, cuando éstos ya no se encuentran en uso.

Técnica de seguridad No. 2:Deshacerse de los‘admins’

Otra recomendación es deshacerse de todas las cuentas masivas con privilegios:  administrator ,  domain admin , enterprise admin , y todas las demás cuentas y grupos que tengan incorporados permisos privilegiados y amplios por defecto.

Cuando esto se sugiere, la mayoría de los administradores de red sonríen y protestan, la misma respuesta que los expertos en seguridad enfrentaron cuando recomendaron que se desactiven las cuentas de Administrador local en las computadoras con Windows. Luego Microsoft siguió esta recomendación y deshabilitó las cuentas de Administrador local por defecto en todas las versiones de Windows desde Vista/Server 2008 y posteriores. Cientos de millones de computadoras después, el mundo no se ha detenido.

Es verdad, Windows aún le permite a uno crear una cuenta de Administrador alterna; pero en la actualidad, los más corajudos defensores de la seguridad de las computadoras recomiendan deshacerse de todas las cuentas incorporadas con privilegios. Aun así, muchos administradores de red ven esto como una medida excesiva, una medida exageradamente draconiana que no va a funcionar. Bueno, al menos una de las empresas de la lista Fortune 100 ha eliminado todas las cuentas incorporadas con privilegios, y está trabajando sin problemas. La compañía no presenta evidencia de haber sido comprometida por una amenaza avanzada persistente ( advanced persistent threat  - APT). Y nadie se queja por la falta de acceso privilegiado, ya sea del lado de los usuarios o de TI. ¿Por qué lo harían? Nadie los está ‘hackeando’.

Técnica de seguridad No. 3: Honeypots

Los  honeypots  de las computadoras modernas nos han acompañado desde los días del “Huevo del Cucú” de Clifford Stoll, pero aún no son lo suficientemente respetados o utilizados como se debería. Un  honeypot  es cualquier activo computacional que ha sido establecido con el único propósito de recibir un ataque. Los  honeypots  no tienen un valor en la producción. Simplemente están ahí esperando, y son monitoreados. Cuando un  hacker  o un  malware  los toca, envían una alerta a un administrador de tal forma que el contacto puede ser investigado. Los  honeypots  proporcionan poco ruido y mucho valor.

Las organizaciones que usan  honeypots,  rápidamente reciben notificaciones de los ataques activos. De hecho, nada mejor que un  honeypot  para recibir alertas tempranas -excepto, claro, un grupo de  honeypots , que recibe el nombre de honeynet . Aun así, los colegas y clientes generalmente se muestran incrédulos cuando saco a luz este tema. Mi respuesta es siempre la misma: tómese un día para instalar uno, y me dice como se siente dentro de un mes. En ocasiones lo mejor que uno puede hacer es probar.

Técnica de seguridad No. 4: Usar puertos nondefault

Otra técnica para minimizar los riesgos de seguridad es instalar servicios en puertos  nondefault . Al igual que cuando se renombra cuentas con privilegios, esta táctica de‘seguridad por obscuridad’ es efectiva. Cuando las amenazas se instrumentalizan mediante gusanos, virus y otros, éstas siempre -y solamente- atacan los puertos por  default . Este es el caso de las inyecciones SQL, gusanos HTTP, descubridores SSH, y otros.

Recientemente, pcAnywhere de Symantec y Remote Desktop Protocol de Microsoft sufrieron de  exploits  remotos. Cuando estos  exploits  se convirtieron en armas, fue una carrera contra el reloj para los defensores el aplicar parches o bloquear los puertos antes de que los gusanos llegaran. Si alguno de los servicios hubiera estado corriendo en un puerto  nondefault , la carrera ni siquiera hubiera tenido que comenzar. Esto porque en la historia del  malware  automatizado, éste siempre ha atacado el puerto por defecto.

Los críticos de este modelo de defensa afirman que es fácil para un atacante encontrar a dónde se ha trasladado el puerto por  default , y es cierto. Todo lo que se requiere es un escáner de puertos, como Nmap, o una aplicación que encuentre su huella, como Nikto, para identificar la aplicación que está corriendo en el puerto  nondefault . En realidad, la mayoría de los ataques son automatizados usando  malware , el cual -como se dijo- solo atacan los puertos por  default , y la mayoría de los hackers  no se toman la molestia de buscar los puertos nondefault . Ellos encuentran muchas ‘frutas a la mano’ como para molestarse con un esfuerzo adicional.

Hace años, como experimento, trasladé mi puerto RDP del 3889 al 50471 y ofrecí una recompensa a la primera persona que encontrara el nuevo puerto. Dos personas descubrieron el puerto, lo cual no me sorprendió; ya que les dije lo que hice, es fácil descubrir el lugar correcto. Lo que me sorprendió es que decenas de miles de potenciales  hackers , que escanearon mi sistema buscando el nuevo puerto usando Nmap, no se dieron cuenta que Nmap, si se le deja en su configuración por  default , no busca en los puertos  nondefault . Esto demostró que realizando un simple cambio de puerto, uno puede reducir significativamente los riesgos.

Técnica de seguridad No. 5: Instalar en directorios personalizados

Otra defensa de ‘seguridad por obscuridad’ es instalar las aplicaciones en los directorios  nondefault .

Esto no funciona tan bien como solía hacerlo, dado que la mayoría de los ataque se producen en la actualidad a nivel del archivo de la aplicación, pero aún tiene algún valor. Al igual que las recomendaciones anteriores, instalar las aplicaciones en directorios personalizados reduce los riesgos -los  malwares automatizados casi nunca buscan en otro lugar que no sea en los directorios por  default . Si el  malware  se encuentra en la capacidad de explotar su sistema o aplicación, intentará manipular el sistema o aplicación buscando los directorios por default . Instale su sistema operativo o aplicaciones en un directorio  nondefault  y engañará al código malicioso.

En muchos de mis  honeypots , instalo el sistema operativo en las carpetas  nondefault , digamos en C:/Win7 en lugar de C:/Windows. Generalmente creo carpetas ‘falsas’ que simulan ser las verdaderas, cuando mis computadoras son atacadas, es fácil encontrar copias completas y aisladas del  malware  en la carpeta C:/Windows/System32.

Cambiar las carpetas por  default  no tiene el impacto que las otras técnicas mencionadas aquí, pero engaña a gran parte del malware , y eso significa reducir el riesgo.

Técnica de seguridad No. 6: Tarpits

Mi primera experiencia con un producto tarpit fue LaBrea Tarpit. Fue desarrollado durante la aparición del gusano Code Red IIS del 2001. Los gusanos se replican en cualquier sistema que les permita sus capacidades de  exploit . LaBrea trabajó respondiendo a los intentos de conexión para direcciones que aún no se habían asignado a máquinas legítimas. Luego respondería y le diría al gusano que se conecte, luego gastaría el resto del tiempo intentando ralentizar al gusano, usando varios trucos del protocolo TCP: timeouts  prolongados, retransmisiones múltiples, y cosas por el estilo.

En la actualidad, muchas redes -y  honeypots - tienen la funcionalidad tarpit, la cual responde a cualquier intento de conexión no válido. Cuando intenté penetrar estas redes a manera de test, mis ataques y ataques de escaneo de redes se ralentizaron -no se podían usar, lo cual era exactamente el propósito. Lo único malo: los tarpits pueden causar problemas con los servicios legítimos si los tarpits responden prematuramente si el servidor legítimo está lento. Recuerde afinar el tarpit para evitar falsos positivos y disfrute de los beneficios.

Técnica de seguridad No. 7: Análisis del flujo de tráfico de la red

Con la abundancia de  hackers  extranjeros, una de las mejores formas de descubrir el robo masivo de los datos es mediante un análisis del flujo de la red. Para ello se dispone de software gratuito y comercial que mapea los flujos de la red y establece líneas de base de lo que debería estar transitando. De esa forma, si ve repentinamente que cientos de gigabytes de datos están saliendo al extranjero, uno puede investigar. La mayoría de los ataques APT que he investigado podrían haber sido reconocidos con meses de anticipación, si la víctima hubiera tenido una idea de hacia donde se deberían dirigir los datos.

Técnica de seguridad No. 8: Salvapantallas

Los salvapantallas protegidos con contraseña son una técnica muy simple para minimizar el riesgo a la seguridad. Si el dispositivo se encuentra inactivo por mucho tiempo, es bueno tener un salvapantallas con contraseña. Criticado por parte de los usuarios que los consideran una molestia para su trabajo legítimo, ahora son un producto principal de todos los dispositivos de computación, desde  laptops  hasta teléfonos móviles.

Recuerdo una ocasión en la que dejé mi teléfono inteligente en el taxi, luego de discutir con el taxista por el pago del servicio. Inmediatamente consideré perdido el teléfono. Estaba preocupado porque acababa de chatear con mi esposa, así que el teléfono estaba abierto y expuesto. Guardaba mis contraseñas y otra información personal en el teléfono, aunque con algunas modificaciones de tal manera que si alguien las veía no sabría directamente las contraseñas o números. Estaba preocupado por la información de contacto de mi esposa, hijas, y otros seres queridos. Afortunadamente, sabía que mi salvapantallas se activaría pronto. Nunca encontré el teléfono, pero tampoco recibí llamadas extrañas y cobros del mismo tipo.

Técnica de seguridad No. 9: Deshabilitar la navegación por Internet en los servidores

La mayor parte del riesgo de las computadoras se debe a las acciones que realizan los usuarios en Internet. Las organizaciones que deshabilitan la navegación en Internet -o todo el acceso a Internet de sus servidores que no necesitan las conexiones- reducen de manera significativa el riesgo de ese servidor ante el código malicioso. Uno no quiere que los administradores estén revisando su correo o posteando en las redes sociales mientras esperan a que baje un parche. En cambio, bloquee lo que no se necesita. Para las empresas que usan servidores Windows, considere deshabilitar el UAC ( User Account Control ), ya que el riesgo para la  desktop  que ese UAC minimiza no se produce. El UAC puede causar algunos problemas de seguridad, así que deshabilitarlo es una buena medida para muchas organizaciones.

Técnica de seguridad No. 10: Desarrolle pensando en la seguridad

Cualquier organización que produce código a la medida debería integrar prácticas de seguridad en su proceso de desarrollo, asegurándose que la seguridad del código será revisada e incorporada desde el primer día de cualquier proyecto de creación de código. Hacerlo reduce sin lugar a dudas el riesgo de que aparezcan  exploits  en su entorno.

Esta práctica, en ocasiones conocida como SDL ( Security Development Lifecycle ), difiere de educador en educador, pero generalmente incluye los siguientes principios: el uso de lenguajes de programación seguros; el no uso de funciones de programación que se saben inseguras: revisión del código; testeo de penetración; y una lista de otras mejores prácticas que apuntan a reducir la probabilidad de producir código con bugs .

Microsoft, por ejemplo, ha podido reducir de manera significativa el número de  bugs  de seguridad en todos los productos que se despachan desde la institución del SDL. Ofrece lecciones aprendidas, herramientas gratuitas, y guías en su sitio  web  de SDL.

Gracias a: Roger A. Grimes, InfoWorld (EE. UU.)

Seguir Leyendo

KPI - No se puede evaluar lo que no se puede medir

No se puede evaluar lo que no se puede medir

...y, para poder medir un proceso se debe contar con algún tipo de indicadores.
Los KPI ("Key Performance Indicators", o indicadores claves del desempeño) son métricas orientadas a cuantificar el grado de cumplimiento de un objetivo de negocio, por parte de un proceso.
La mayoría de las métricas que se utilizan en seguridad desafortunadamente no cumplen con esta definición. Típicamente usamos indicadores de efectividad técnica u operativa que no podemos relacionar directamente con el cumplimiento de objetivos de negocio.
Además, la mayoría de estos indicadores son específicos para cada control (no describen un proceso, que es otro requerimiento para considerar como clave a un indicador).
Algunos ejemplos de indicadores que usamos típicamente en seguridad:

• Número de ataques prevenidos/detectados (FW, IPS, etc.)
• Número de programas maliciosos detectados (antivirus, antispyware, etc.)
• Número de incidentes de seguridad reportados y atendidos (equipos de respuesta ante incidentes)
• Número de actualizaciones de seguridad
• Tiempo de respuesta para atender incidentes
• Tiempo promedio de distribución de parches de seguridad

Como referencia, en KPI library pueden encontrar cientos de indicadores adicionales de diversos tipos. (Ej. information+security, Outsourcing)
Las 2 preguntas que queremos responder en este artículo son: 

• ¿Cuáles de estos indicadores técnicos realmente nos sirven? 
• ¿Cómo podemos generar indicadores de seguridad de la información, que sean realmente claves para el negocio, a partir de ciertos indicadores técnicos?

Indicadores técnicos

Debemos distinguir entre indicadores técnicos que son útiles y aquellos que son meramente informativos y no aportan datos concretos sobre la efectividad de un control.
Los indicadores que son útiles miden cosas que están bajo nuestro control y no dependen del entorno.
Ejemplos de malos indicadores técnicos:

• Controles:
• Número de virus detectados
• Número de cambios en configuración
• Número de parches aplicados en el mes
• Número de intentos de ataque detectados
• Número de cintas de respaldo generadas en un mes
• Procedimientos:
• Número de solicitudes atendidas
• Horas invertidas en solución de problemas

Ejemplos de buenos indicadores:

• Controles:
• Porcentaje de virus detectados y eliminados oportunamente
• Porcentaje de ataques prevenidos
• Porcentaje de parches críticos aplicados en el mismo mes de su liberación
• Procedimientos:
• Tiempo promedio de restauración de un sistema a partir de un
• Tiempo de respuesta promedio para solución de un incidente
• Costo promedio de solución por incidente (horas hombre + recursos materiales)

De los ejemplos anteriores, es claro que los buenos indicadores son el resultado de una ponderación entre acciones ejecutadas correctamente y acciones incorrectas (siendo las acciones incorrectas la suma de falsos positivos y faltos negativos). También son buenos indicadores las métricas de niveles de servicio (tiempo) y costo, relacionadas únicamente con variables locales.

Manejo de indicadores técnicos
Es claro que generar cientos de indicadores a nivel técnico no es sinónimo de un mejor control o de mayor precisión. Tenemos que utilizar la cantidad mínima necesaria de indicadores técnicos para armar los indicadores clave de despempeño que requiere el negocio, pero además tenemos otros problemas:

• La medición de eventos prevenidos - medir eventos reales (incidentes) con un impacto al negocio es relativamente fácil. Basta con revisar la lista de reportes de la mesa de servicio, pero existen una gran cantidad de controles que no documentan eventos prevenidos con éxito (Ej. ¿cuántos incidentes previno el candado de una laptop? ¿Cuántos incidentes previno la desactivación de servicios no indispensables en un servidor?
• El empalme de controles - Cuando hay controles que trabajan en conjunto (en diferentes capas usualmente) es difícil medir la eficacia de cada uno de ellos. Por ejemplo, el hecho de que un firewall por su configuración haya evitado que cierto tráfico de propagación de un virus nuevo pasara hacia la red interna, no asegura que un antivirus o un IPS detrás de este firewall hubieran podido actuar eficazmente sobre este evento.

Si no podemos medir con toda certeza falsos positivos y negativos, no podemos determinar un indicador de efectividad a nivel de un control particular.

Por otro lado, si no podemos saber con certeza la reacción de un control ante un evento que en teoría debería prevenir pero que detuvo otro control, tampoco tenemos métricas de falsos positivos y negativos confiables.

Parecería que es imposible poder medir la eficacia de todo tipo de controles y procedimientos que tenemos, sin embargo ¿realmente necesitamos llegar a este nivel de detalle para generar indicadores clave de desempeño?

La respuesta es no. Sin embargo, es importante aclarar que los indicadores técnicos y operativos no son inútiles y debemos generar todos aquellos que se puedan, para cada control y procedimiento.

La diferencia es que no los vamos a usar para generar los indicadores clave, sino como herramienta de diagnóstico para determinar qué controles y procedimientos debemos reemplazar cuando los indicadores clave de desempeño nos indiquen que debemos mejorar algo.

Indicadores clave y técnicos que requerimos
Sólo necesitamos 2 tipos de indicadores (uno técnico y otro de negocio) para generar los indicadores clave:

• Costo estimado de la solución por día = (Costo de la solución de seguridad anualizado + costo de incidentes reales en el año) / 365
• Costo anualizado incluye:
• Costo de controles y su mantenimiento +
• Sueldos de personal a cargo +
• Costo de servicios tercerizados
• Costo de incidentes reales en el año incluye eventos de pérdida documentados con costos asociados al negocio
• Costo promedio por incidente (sin considerar controles)
• Es el costo de un evento antes de considerar controles (los controles afectan probabilidad de ocurrencia o impacto en este costo), es decir, el costo puro como lo percibe el negocio
• Se recomienda separar por tipo de evento:
• Integridad
• Confidencialidad
• Disponibilidad
• Autenticidad
• Si no se tienen datos históricos suficientes para determinar este dato, se pueden usar promedios de la industria, aunque evidentemente puede haber variaciones significativas con respecto al negocio (ej. el estudio de costos por fuga de información del Instituto Ponemon).

Dado que no podemos asegurar el contar con indicadores de eficacia para todos los controles, vamos a estimar el costo de protección por evento y compararlo contra el costo promedio de cada evento.

En este caso, es razonable asumir que se puede generar un evento potencial en un día cualquiera del año (no sabemos cuántos en el año pero asumimos que al menos se generará uno por año) y que el costo de protección de un día es cercano al costo de protección de un evento, considerando que para la mayoría de los casos, las empresas agrupan eventos  de un mismo tipo en un incidente por día; es decir, si por ejemplo no tuviéramos un antivirus instalado y sufriéramos en consecuencia la caída de varios equipos por infecciones, la mayoría de las empresas tratarían la situación como un único incidente en el mismo día (con varios elementos afectados), en vez de distinguir entre los eventos generados por cada tipo de malware que participó.

Dado lo anterior, también es razonable asumir que el costo promedio de protección por un día debería ser menor al costo promedio de un tipo de incidente determinado. Como seguramente ya habrán adivinado, este balance constituye nuestra propuesta de indicador clave de desempeño:

• KPI para una solución de seguridad = costo estimado de la solución por día - costo promedio de incidente

Para ser costo-efectiva, la solución deberá producir un resultado negativo en el KPI.

Seguir Leyendo

Indicades de Gestion - norma UNE 66175:2003

Indicadores de Gestión (norma UNE 66175:2003)

Los indicadores de gestión proporcionan valiosa información  precisamente sobre dicha gestión, así como para la toma de decisiones. En  cualquier escrito acerca de indicadores, es común ver la frase “la calidad de  las decisiones está directamente relacionada con la calidad de la información  utilizada”. Gran Verdad
  Por este motivo, la gestión de los indicadores es factor  vital para el correcto desarrollo de cualquier sistema de gestión, haciendo  extensiva la frase a Sistemas de Gestión de Seguridad de la Información ISO  27001, de Calidad ISO 9001, Ambiental ISO 14001, de Seguridad y Salud  Ocupacional OHSAS 18001, Seguridad Alimentaria ISO 22000.

Para el correcto diseño de un Sistema de Indicadores, debemos  partir de una serie de datos y conceptos.

Para empezar, deberíamos determinar:

• Áreas y/o  líneas principales de actuación de la organización 
• Necesidades  o requisitos de la misma 
• Indicadores/métricas  preexistentes 
• Cuadros  de mando preexistentes 
• Feedback  de la toma de decisiones respecto de los indicadores implantados 
• Otros

Partiendo de estas entradas, las cuáles conforman la base de  desarrollo o despliegue de nuestro sistema de indicadores, debemos establecer  el marco en el que tendrán desarrollo los mismos, estableciendo la relación  entre los objetivos, los indicadores y el propio cuadro de mando.
 En la etapa de diseño, tendremos en cuenta, la definición de  todos los parámetros vinculados con la definición del mismo, así como las  tareas a acometer para su formalización e integración en el funcionamiento  normal de la organización.

• Denominación  del indicador 
• Temporalidad  asociada: diaria, semanales, mensual, anual 
• Medio de  recolección de datos/Fuentes de información 
• Metodología  de cálculo: %, ratio, conteo 
• Unidad utilizada:  ítems, S/, $, horas, 
• Propietario  y otras responsabilidades asociadas: recogida, análisis, comunicación 
• Umbrales  y objetivos: límite inferior y/o superior, objetivos 
• Forma de  representación: gráficos, diagramas, colores asignados, 
• Persona  que lo aprueba

Una vez en fase de implantación, habrá que impartir la  formación necesaria a todas las personas relacionadas con la captación,  tratamiento y mantenimiento de los datos que vamos a analizar para la toma de  decisiones. Aquí es un factor muy importante el motivar y fomentar la toma de  conciencia de los implicados con el sistema de indicadores y sus prácticas. De  nada sirve tener un muy buen sistema conceptual, si luego las prácticas  asociadas a todo el proceso de gestión de un determinado indicador no se  desarrollan conforme a lo planificado.
Tras la implantación, sólo falta analizar la bondad del  indicador a partir de parámetros como la satisfacción de lo usuarios y la  calidad de la toma de decisiones en función de cómo afectan al desarrollo de  una determinada actividad, área de negocio, línea de actuación, gama de  productos, etc.
Siempre que hablamos de indicadores surge el término Cuadro  de Mando. Mucha gente se pregunta realmente qué es un cuadro de mando (Balanced Scorecard). Un cuadro de mando es una herramienta de gestión  ampliamente utilizada, que facilita de sobremanera la toma de decisiones en los  estamentos aplicables de cada organización. Básicamente consiste en recopilar  un conjunto coherente de indicadores para mostrar una visión clara de cómo  funciona la organización en su conjunto o un determinado área en particular.  Con los resultados obtenidos, se facilita la toma de decisiones respecto de los  mismos, así como permite focalizar los recursos necesarios para solventar  posibles desviaciones de funcionamiento de determinados procesos, sobre todo,  alineado con la estrategia de la organización.

¿Qué características tienen los indicadores?

Permiten analizar información de un área, actividad, …,  importante o crítica
 

Están directamente relacionados con el concepto evaluado 

Son representativos del criterio a medir 

Suministran resultados cuantificables: dato numérico o  valor de clasificación

Beneficio de su uso > inversión para captura y  tratamiento de datos

Son comparables en el tiempo, proporcionando evoluciones o  tendencias

Deben proporcionar confianza sobre la validez de las  medidas obtenidas

Deben ser fáciles de establecer, mantener y utilizar

Deben ser compatibles con el resto de indicadores de la  organización

Obsolescencia de indicadores Un indicador puede pasar a ser obsoleto cuando:

Se han modificado los objetivos de la organización o algún  parámetro estratégico

Se han modificado propietario, cliente del indicador o el  cuadro de mando

Se han evolucionado la expectativas

La naturaleza de lo que mide ya no es significativa o no procede: no es útil

Seguir Leyendo

Bloqueo de IP's por países - Geolocalización mediante Apache

¿De qué se trata mod_geoips?

En el campo de la seguridad de la información, las restricciones de acceso forman parte de póliticas asumidas por las organizaciones. Poniendo un ejemplo rápido: Una página web que ofrece servicios DELIVERY de comida en Lima, ¿necesitará publicar estos servicios para Irán o la India? esa es una desición de la organización. Pues bien la "GEOLOCALIZACIÓN" es una medida de seguridad a la hora de implementar servicios en Internet, y consiste en filtrar conexiones IP basadas en su procedencia geográfica.

Este módulo para Apache permite establecer controles de acceso basados en la procedencia de la conexiones IP de origen, el objeto entonces consiste en 'banear' (bloquear) las IP's de los países considerados que no forman parte del interés y negar acceso al contenido del servidor web.

Entonces, mod_geoips, creado por MaxMind.

Los ejemplos se han realizado en una distribución Linux CentOS 6, pero muy adaptables a cualquier distribución.

1. Instalar las librerías GeoIP

 
# wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP.tar.gz
# tar -xvzf GeoIP.tar.gz
# cd  GeoIP-1.4.8
# ./configure
# ./make
# ./make install

Son librerías en las que se apoya mod_geoips
2. Descargar la base de datos de IPs

 
# wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
# gzip -d GeoLiteCity.dat.gz
# cp GeoLiteCity.dat /opt/

Se recomienda descargar frecuentemente la base de datos ya que se va actualizando, para ello se puede utilizar un script en Cron y automatizar la tarea según criterio.
3. Instalar mod_geoips

 
# wget http://www.maxmind.com/download/geoip/api/mod_geoip2/mod_geoip2_1.2.7.tar.gz
# tar -xvzf mod_geoip2_1.2.7.tar.gz
# cd  mod_geoip2_1.2.7
# apxs -i -a -L/usr/local/lib -I/usr/local/include -lGeoIP -c mod_geoip.c

Observación: Para correr el último comando es necesario tener instalado el paquete httpd-devel que provee el comando 'apxs'

Agregar con su editor preferido el archivo httpd.conf con la siguientes líneas:

<IfModule mod_geoip.c>
  GeoIPEnable On
  GeoIPDBFile /opt/GeoLiteCity.dat
</IfModule>

4. Configurar los bloqueos
Como un ejemplo al caso, nos interesa bloquear países como Irák o la India en nuestro servidor web, pues bien, para bloquear a esos países, creamos un fichero .htaccess en la raíz del árbol html de nuestro servidor web de la siguiente manera:

SetEnvIf GEOIP_COUNTRY_CODE IQ BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE IN BlockCountry

Deny from env=BlockCountry

De esta manera tenemos configurado el servidor Apache, como se pueden observar, es muy fácil añadir más países a la lista de 'bloqueados'.

Seguir Leyendo

Verificación a 2 pasos: Le tocó el turno a Dropbox

Verificación a 2 pasos - Dropbox

Dropbox, (la piedra en el zapato de Google en lo que se refiere al servicio de almacenamiento en la nube), debido al escandaloso robo de contraseñas que sufrió meses atrás, ahora nos ofrece activar la opción de verificación en dos pasos, de esta manera trata de fortalecer la seguridad de acceso.

Esta opción consiste en recibir un código de autenticación mediante un mensaje de texto enviado al teléfono móvil o a través de una aplicación (token).

Para activar la opción habrá que ingresar en la web de Dropbox e ir al menú desplegable.

Además, debería haber una nueva opción (desactivada por defecto) en la parte inferior. Para activar la verificación en dos pasos.

Se nos mostrará una ventana introductoria.

Para activar esta verificación, Dropbox nos pedirá ingresar la clave de la cuenta.

A continuación se nos ofrecen dos métodos con los cuales otorgarán el código de seguridad:

Optar por recibir mediante SMS al número de teléfono que indiquemos o,

nuestra opción preferida, mediante alguna de las siguientes aplicaciones móviles que soportan nuestros móviles "TOTP" (Time-based One-Time Password):

Google Authenticator Google Authenticator (Android/iPhone/BlackBerry)

Amazon AWS MFA Amazon AWS MFA (Android)

Authenticator Authenticator (Windows Phone 7)

Podremos generar un nuevo token, introduciendo manualmente la clave o escaneando un código QR que se muestra en la siguiente ventana (otpauth://totp/Dropbox:cuenta@dominio.com?secret=xxxxxxxxxxxxxxxxxxxxxxxxxxxxx):

En mi caso utilizaré 'Google Authenticator',

Al scanear el Código QR

'Google Authenticator', Me genera una nueva entrada TOTP.

Este código de "seis" dígitos tendré que ingresarlo por primera. Así mismo Dropbox me genera un código de restauración de emergencia de 16 dígitos en caso perdiera el dispositivo móvil.

Así es como lo tenemos, ¡hemos habilitado la verificación de dos pasos para Dropbox!

Cuando queramos acceder a nuestro servicio de Dropbox, se nos solicitará el código de seguridad correspondiente:

Seguir Leyendo

Suplantación o "Phishing"

Hay que tener mucho cuidado con los e-mails que supuestamente provienen de nuestra entidad bancaria o financiera, estos llegan con regalito incluido como algún malware troyano. Hace un buen tiempo que viene circulando mensajes atribuidos a entidades como la Policía Nacional, en el que invitan al destinatario a hacer clic para conocer la supuesta denuncia en la que está involucrado.

Con diversos argumentos para engañar a los destinatarios e invitarlos a hacer clic en sus enlaces.

Basta con un simple clic para provocar la inmediata activación silenciosa de un malware troyano que se instala en su equipo para sustraer información sin que usted se percate.

Aquí les muestro otro ejemplo del que venimos tratando.

Pero si somos observadores, nos daremos cuenta del encabezado del correo y el enlace web al que nos llevaría si hacemos clic.

Primero, el mensaje supuestamente nos lo remite Grupo Interbank.com.pe PERO de una dirección electrónica info@noticias.com

Segundo, Si pasamos el ratón por encima del vínculo (sin hacer clic sobre él) podremos observar que el link NO pertenece al DOMINIO (el nombre que asocia la empresa a una dirección IP) de la entidad sino a awardspace.biz, y como SUBDOMINIO, (palabra que la antecede) home-netinterbnk.

Técnica que vendría de la mano con la ingeniería social, algo así como "jugar con nuestra mente y dejar que ella complete lo que queremos ver" (asociaciones gráficas). De ésta manera cuando hagamos una lectura rápida a la barra de direcciones lo primero que vamos a ver es "home-netinterbnk" sumado a un diseño idéntico de la página original para dejar que ella (nuestra mente) se encargue de asociarla a la entidad que creemos estar visitando.

Algunos navegadores se dieron cuenta de lo mal que nos juega la mente, y es por ello que modificaron la barra de direcciones y la forma que se debe presentar el dominio resaltado.

Entonces recapitulando, el e-mail remitido "supuestamente" desde el sitio Grupo Interbank.com.pe invita al destinatario a hacer clic sobre la notificación para reactivar la cuenta, ya que la entidad detectó intentos fallidos de acceso a la cuenta en linea.

El "Phishing"

Pues bien El phishing es una técnica utilizada para robar información confidencial de las personas a través de Internet, se hace uso de la suplantación de una persona o entidad oficial, y la mayoría de las veces se realiza a través de correos electrónicos, o a través de falsificación de páginas Web de entidades o marcas reconocidas. Las acciones más comunes están ligadas a páginas de bancos, medios de comunicación entre otros. Pero lo que debemos tener en cuenta es que rara vez éstas entidades utilizan este tipo de mensajes para solicitar datos privados o invitar a hacer clic sobre un enlace de hipertexto.

¿Qué sucede entonces?

Los autores de estos delitos suelen obtener blancos de ataque en direcciones de correo listos y "verificados", es más, se los puede obtener por zonas o localización de interés, en formatos como CD's que no son otra cosa que base de datos que se venden libremente en mercados negros.

Ahora, ¿cómo se obtiene estas enormes base de datos?, simplemente mediante la utilización de técnicas sociales como "correos cadenas" tipo "Salvemos a las Ballenas Jorobadas", "Mis fotos del último fin de semana", "Oraciones" etc, etc... mensajes engañosos que piden reenviar la información a más amigos.

Se recurre además a la utilización de programas maliciosos descargados de la red para retransmitirlos a miles de personas. Estos programas tienen códigos que se encargan de recolectar toda la información de nuestros contactos almacenados en nuestros equipos y se retransmitan como si usted mismo estuviera enviado mensajes a sus contactos, y por último modifica el servicio DNS (Domain Name System o Sistemas de Nombres de dominio) para asegurarse que el usuario no sólo vaya a estos sitios fraudulentos sino la dirección web parezca que estuvieramos en los sitios correctos.

Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.

Hoy en día, la Internet se ha convertido, sin lugar a dudas, en la mejor fuente de información y comunicación en el mundo. No obstante, el mal uso de esta herramienta, ya sea por desconocimiento, equivocación o descuido, pone en riesgo el bienestar personal, familiar, social o financiero del usuario internauta. Todas ellas se han convertido en un medio para el desarrollo de innumerables patologías y delitos que afectan particularmente a la población infantil y juvenil usuaria de la Internet. Este delito ya supera todos los niveles imaginables de estafa, mediante el robo de identidad, vía Internet.

¿Cómo puede usted protegerse?

La forma más segura para estar tranquilo y no ser estafado, es que NUNCA responda a NINGUNA solicitud de información personal a través de correo electrónico, llamada telefónica o mensaje corto (SMS).

Las entidades u organismos NUNCA le solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS. Ellos ya tienen sus datos, en todo caso es usted el que los puede solicitar por olvido o pérdida y ellos se lo facilitarán. Ellos NUNCA se lo van a solicitar porque ya los tienen, es de sentido común.

Asegúrese, además, de tener actualizado su programa antivirus. Pero aquello no es suficiente. También es importante contar con un programa antispyware. Ambos deben estar actualizados permanentemente para evitar sorpresas.

Para visitar sitios Web, teclee la dirección URL (el dominio) en la barra de direcciones. NUNCA POR ENLACES PROCEDENTES DE CUALQUIER SITIO. Las entidades bancarias contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la banca por Internet.

En Perú: Enviando un correo a la División de Investigación de Delitos de Alta Tecnología (DIVINDAT) de la Policía Nacional del Perú. La dirección es fraudeinformatico@policiainformatica.gob.pe

En Latinoamérica: Enviando un correo a la organización "Asociación de Internautas", los cuales, aunque tienen su sede en España, pueden canalizar su denuncia a nivel de todos los países de habla hispana. La dirección es phishing@internautas.org

Seguir Leyendo

Formando Conciencia en Seguridad de la Información

He querido compartir con ustedes estas lecturas, con lo respecta a mi; me gustaron mucho. Creo que esa debe ser la manera elemental, digerible y sencilla que nos hace ver la terminología tan rígida con la que hoy en día se muestra a la seguridad de la información.

Las siguientes lecciones y libros de ejercicios (workbooks) son materiales abiertos y disponibles públicamente bajo los términos y condiciones de ISECOM.

ISECOM no puede aceptar o hacerse cargo de responsabilidad por el modo en como se utilice, aplique o abuse cualquier información aquí contenida.

El proyecto es "un proyecto abierto de la comunidad".

Lista de Documentos

- Glosario

- Ser un Hacker

- Windows y Linux

- Puertos y Protocolos

- Servicios y Conexiones

- Identificacion de Sistemas

- Malware

- Attack Analysis

- Digital Forensics

- Seguridad Email

- Passwords

- Legalidad y Etica en Internet

Espero que les guste, muchos saludos.

Seguir Leyendo

     

El nuevo BackTrack 5 R3 ya está listo para descargar

Ha llegado el momento para renovar nuestro arsenal de herramientas de seguridad - BackTrack 5 R3 ha sido puesto en libertad. R3 se centra en la correcciones de errores, así como la adición de más de 60 nuevas herramientas - varios de los cuales fueron puestos en libertad en el BlackHat y la Defcon 2012. Toda una categoría nueva de herramientas fue poblada - "La explotación física", que ahora incluye herramientas tales como el IDE de Arduino y bibliotecas, así como la recolección de Kautilya carga Teensy.

Construir, probar y lanzar una nueva revisión de BackTrack nunca fué una tarea fácil. Mantenerse al día con las últimas herramientas, mientras se equilibran requerimientos de las dependencias, se asemeja a un acto de magia, malabarismo espectáculo. Afortunadamente, los miembros activos de nuestra comunidad Redmine como backtracklover y JudasIscariot hacen que nuestra tarea sea mucho más fácil, reportando activamente errores y sugiriendo nuevas herramientas sobre una base regular. Me quito el sombrero a la dos.

Nos gustaría dar las gracias a Offensive Security por proporcionarnos el equipo de BackTrack DEV con la financiación y recursos para hacer que todo esto suceda. También, un agradecimiento muy especial a Dookie, con desarrollador principal - por crear, probar y empaquetar la mayor parte de las nuevas herramientas en esta versión.

Junto con nuestras habituales ISO KDE y GNOME, 32/64 bits, hemos publicado una sola imagen de VMware (Gnome, 32 bits). Para aquellos que necesitan otros sabores VM de regreso - la construcción de su propia imagen de VMWare es más fácil - las instrucciones se pueden encontrar en el Wiki BackTrack.

Por último, si usted está buscando para un mundo intenso, real, entrenamiento, Pruebas de Penetración - asegúrese de contar con el entrenamiento de Offensive Security, y aprender el significado de "esforzarse más".

Para los impacientes increíblemente, se puede descargar la versión BackTrack 5 R3 vía torrent ahora mismo. Descargas directas ISO están disponibles una vez que todas nuestras réplicas HTTP se hayan sincronizado, debería demorar un par de horas. Una vez que esto sucede, vamos a actualizar nuestra página de descarga de BackTrack con todos los enlaces.

Descarga:

Back Track 5 R3 Released

Seguir Leyendo

Backtrack5 - Overview

Con el siguiente video pretendo mostrar la manera de virtualizar Backtrack5, ojo que no es LiveCD, ya que lo quiero rescatar es la interacción que debe tener con otros sistemas virtualizados en nuestra propio host y así sacar el mejor provecho sin necesidad de tener que instalarlo nativamente.

El video tutorial es bastante claro y muy introductorio para quienes desean aprender a manejar esta excelente distribución enfocada en la seguridad informática.

De momento he publicado Backtrack 5 - Overview, más adelante esteré compartiendo con ustedes con qué herramientas cuenta, algunos conceptos básicos y con cada actualización el nivel se irá incrementando.

Back Track 5 - Overview from Antonio Galvez on Vimeo.

Seguir Leyendo

Extrayendo la SAM de Windows

Mucho han ido evolucionando los sistemas operativos de Microsoft en lo que a seguridad se entiende. Desde Windows NT y 2000, donde el concepto seguridad era prácticamente inimaginable, hasta Windows 2008 y Windows 7 han pasado muchas cosas. Siguen detectándose gran cantidad de vulnerabilidades, no en vano se trata de sistemas operativos ampliamente extendidos y utilizados, pero cada vez la criticidad es menor, o no son explotables de forma remota o se corrigen y parchan con mucha más rapidez.
Microsoft se ha tomado más en serio eso de la seguridad informática y ha desarrollado multitud de guías de securización y hardening para los equipos que utilizan Windows, Exchange, IIS, etc. o, incluso, ha creado diferentes herramientas que ayudan a detectar y a reducir el impacto de una posible vulnerabilidad como, por ejemplo, MBSA (Microsoft Baseline Security Analyzer), EMET (Enhanced Mitigation Experience Toolkit), MSAT (Microsoft Security Assesment Tool), Windows Defender, Microsoft Security Essentials y alguna otra.

La seguridad de un sistema Windows se basa, principalmente, en tres componentes denominados Local Security Authority o LSA, SRM o Security Reference Monitor y SAM o Security Account Manager para controlar la autenticación en el inicio de sesión de Windows, la seguridad a nivel de objetos y los permisos y derechos de usuarios respectivamente. Los dos primeros en la capa de usuario y el último componente a nivel del Kernel o núcleo del Sistema Operativo.

"Local Security Autohority" (LSA) mantiene información y datos sobre los distintos aspectos de la seguridad local del Sistema Operativo, es decir, controla la autenticación de los usuarios, gestiona las directivas de seguridad locales aplicadas y administra los controles de auditoria y trazabilidad del sistema, etc.

Con "Security Reference Monitor" (SRM) se verifica si un usuario tiene derecho a acceder a un objeto y ejecutar una determinada acción solicitada. Mediante el uso de ACLs (Access Control List o listas de control de acceso), comprueba si un objeto o recurso puede ser accedido.

"Security Account Manager" (SAM) es una base de datos presente en los servidores y estaciones de trabajo con Sistema operativo Windows donde se almacena la información relativa a las cuentas de usuario (nombre de usuario, contraseña, descripción del usuario, grupos a los que pertenece, etc.) del equipo local o bien del resto de la red mediante un controlador de dominio o de Directorio Activo (AD). La SAM es el equivalente al fichero /etc/passwd de los Sistemas Linux/Unix. Físicamente se encuentra en "c:\Windows\System32\Config\SAM" y existe una copia de dicho archivo en "c:\Windows\repair\SAM".

Entre las dificultades o problemas más comunes a la hora de obtener el fichero de contraseñas, una vez que se ha ganado el acceso a un determinado servidor Windows, destacan las siguientes:

- Arquitectura de 64 bits: los nuevos servidores Windows 2008 ya suelen ser de 64 bits y herramientas como pwdump (http://en.wikipedia.org/wiki/Pwdump) en su versión 6 o gsecdump (http://distro.ibiblio.org/pub/linux/distributions/openwall/projects/john/contrib/pwdump/gsecdump-0.7-win32.zip), por ejemplo, no soportan este tipo de arquitecturas con lo que es necesario recurrir a otras aplicaciones como fgdump o pwdump 7, que sí funcionan en sistemas de 64 bits.

- Antivirus: es muy frecuente encontrarse con antivirus instalados en los servidores Windows de donde se quiere extraer la SAM que impiden ejecutar los programas para volcar la información de los passwords dado que los detectan como malware y bloquean su ejecución. A modo de ejemplo, antivirus tan conocidos como VirusScan de Mcafee, TrendMicro o Kaspersky detectan las aplicaciones gsecdump y pwdump6 y pwdump7 como malware, hacktool, etc. e impiden su correcta ejecución, en cambio, Mcafee es el único motor antivirus que sí detecta fgdump como un virus. Para poder utilizar estas herramientas es preciso desactivar la protección en tiempo real que tienen configurada los antivirus presentes en el servidor.

- Usuario con privilegios: ya sea de forma remota o localmente, es necesario disponer de un usuario válido con privilegios de administrador local en el servidor para acceder al fichero de contraseñas (SAM) almacenado en el disco duro. Si se quiere extraer la SAM remotamente se puede recurrir a herramientas como "psexec" y si es de forma local, únicamente es necesario ejecutar la aplicación deseada (pwdumpX, fgdump o gsecdump) en el servidor analizado.

- Programas: como se ha visto existen diferentes herramientas capaces de extraer las contraseñas de un fichero SAM (múltiples versiones de pwdump, gsecdump, fgdump, etc.). Cuál utilizar contra un servidor depende de los factores antes descritos. A modo de ejamplo, se va a mostrar el funcionamiento de fgdump que es una de esas aplicaciones existentes que es sencilla de usar a la vez que potente y que resulta idónea para trastear con el archivo SAM de un servidor Windows.

EJEMPLO DE USO CON FGDUMP
Fgdump es una aplicación basada en pwdump6 que se puede descargar de la dirección http://www.foofus.net/~fizzgig/fgdump/downloads.htm y que tiene la opción de funcionar en sistemas de 32 ó 64 bits y, además, permite deshabilitar el antivirus que pueda existir instalado en el servidor. Fgdump también es capaz de desactivar la protección DEP (Prevención de Ejecución de Datos) que en los sistemas Windows más nuevos e incluso en Windows XP SP2 protege al sistema de la ejecución de determinados programas como los destinados a volcar el contenido de la SAM.

Lo primero es disponer de un usuario con permisos suficientes para ejecutar la herramienta y poder acceder al archivo de la SAM. Esto se puede comprobar ejecutando, en una ventana de MS-DOS (cmd.exe) dentro del servidor Windows, el comando "whoami /all" que muestra el usuario con el que se está conectado y los permisos de que éste dispone.

Para analizar la existencia o no de algún antivirus configurado en el servidor y de qué tipo (Mcafee, Kaspersky, etc.), lo más sencillo es ejecutar el comando "net start" y ver qué servicios se están ejecutando:

Microsoft Windows [Version 6.0.6002]
Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

c:\net start

These Windows services are started:

Application Experience
...

McAfee Firewall Core Service
McAfee Host Intrusion Prevention Service
McAfee McShield
McAfee Task Manager
McAfee Validation Trust Protection Service
Network Connections
...

Se trata de un servidor Windows 2008 con el Service Pack 2 como se puede deducir de la versión de Windows proporcionada: 6.0.6002 que tiene un antivirus VirusScan de Mcafee configurado.

C:\>whoami hacktimes.com\administrator

el nombre de usuario ya lo dice todo, se dispone de permisos y privilegios para ejecutar la herramienta y acceder al fichero SAM. En un servidor Windows sin antivirus el funcionamiento y los parámetros de fgdump serían:

C:\>fgdump (sin parámetros ya detecta automáticamente si se trata de un sistema de 32 ó 64 bits, desactiva el antivirus y la protección DEP)
 fgDump 2.1.0 - fizzgig and the mighty group at foofus.net
 Written to make j0m0kun's life just a bit easier
 Copyright(C) 2008 fizzgig and foofus.net
 fgdump comes with ABSOLUTELY NO WARRANTY!
 This is free software, and you are welcome to redistribute it
 under certain conditions; see the COPYING and README files for
 more information.

 No parameters specified, doing a local dump. Specify -? if you are looking for help.
 --- Session ID: 2011-10-17-10-36-51 ---
 Starting dump on 127.0.0.1

 ** Beginning local dump **
 OS (127.0.0.1): Microsoft Windows Vista Server (Build 6002) (64 bit)
 Passwords dumped successfully
 Cache dumped successfully

-----Summary-----

Failed servers:
 NONE

 Successful servers:
 127.0.0.1

 Total failed: 0
 Total successful: 1

Fgdump crea 3 archivos nuevos "127.0.0.1.cachedump" con la información de las sesiones abiertas en el servidor, "127.0.0.1.pwdump" donde ha extraído la información del fichero SAM y "2011-10-17-10.39-43.fgdump-log" que no es más que el fichero de LOG de la herramienta.

Si se desea que fgdump no deshabilite el antivirus, se ejecuta el comando con la opción -a (fgdump -a).

También se puede hacer de forma remota con la aplicación de Microsoft "psexec" (http://technet.microsoft.com/es-es/sysinternals/bb897553) y, en este caso, el funcionamiento sería:

c:\psexec \\hacktimes.com -u administrator -p contraseña -c -s "c:\fgdump.exe"> SAM.txt

el parámetro -u se utiliza para indicar el usuario con el que se conectará remotamente, -p para la contraseña, -c para que copie fgdump.exe en el servidor remoto y en la ruta que se le indique, -s para ejecutar el proceso remoto con la cuenta de "system" y el direccionador "> SAM.txt" para que copie en el equipo local desde el que se ejecuta psexec el contenido del archivo SAM remoto.

Si, por el contrario, se quiere extraer la SAM de un servidor con antivirus, es preciso desactivar la protección en tiempo real que ofrece el antivirus o encontrar métodos alternativos para poder ejecutar fgdump. Una de esas formas, es revisar las exclusiones (si las hay) que tiene configuradas Mcafee por si existe alguna extensión de archivo que el antivirus no comprueba o algún directorio que no analiza. Suele ser habitual que no se miren los ficheros de LOG (extensión .log) y como desde línea de comandos en Windows se pueden ejecutar archivos que no tienen extensiones de nombre de archivo ejecutable (.exe, .com, .bat, etc.), se puede cambiar la extensión de fgdump de .exe a .log y así el antivirus de Mcafee no lo analiza ni bloquea.

Para ver las extensiones que el VirusScan tiene configuradas es necesario recurrir a la siguiente entrada del registro:

regedit HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\Configuration\Default bajo el nombre ExcludedItem_0

Más información sobre cómo Windows deja ejecutar ficheros que no tienen una extensión ejectuable en: http://support.microsoft.com/kb/811528/es.

Otro método es, si se dispone de acceso a la consola del antivirus, parar los servicios de Mcafee que evitan la ejecución de fgdump al detectarlo como malware. Para más información de todos los pasos necesarios para desactivar VirusScan de Mcafee se puede recurrir a la siguiente URL: http://virusscan.helpmax.net/es/apendice/solucion-de-problemas/desactivacion-de-virusscan-enterprise-durante-la-solucion-de-problemas/.

Otra forma muy efectiva es ofuscar al antivirus el archivo binario y evitar así que sea detectado como malware. Una herramienta muy útil para conseguir eso es PEScrambler (http://code.google.com/p/pescrambler/) que es muy fácil de utilizar y que consigue, moviendo parte del código, reorganizar el fichero y que el VirusScan en este caso no lo detecte:

C:\>pescrambler.exe -i c:\fgdump.exe -o c:\fgdump-ofuscado.exe

(-i de la ruta de inicio del fichero y -o para indicar el nombre del archivo resultante que será el que se ejecute para evitar ser detectado por el antivirus)

PE-Scrambler v0.1 (Alpha)
Copyright (C) 2007-2008 Nick Harbour, All Rights Reserved

Loading and Parsing Input File. (done)
Disassembling. (done)
Generating Cross-References. (done)
Remapping CALL Instructions. (done)
Armoring Code. (done)
Writing Output File. (done)

Se ejecuta en el servidor Windows del que se quieren extraer las contraseñas el nuevo archivo "fgdump-ofuscado.exe" y el funcionamiento es el normal y se consigue volcar todo el contenido de la SAM como anteriormente sucedía obviando la presencia del antivirus.

Una vez se dispone del archivo de contraseñas ya se puede utilizar algún programa como L0pthcrack en su última versión 6 (http://www.l0phtcrack.com/) u Ophcrack (http://ophcrack.sourceforge.net/) que combinado con raimbow tables permiten, en relativamente poco tiempo, acceder a los passwords que los diferentes usuarios tienen definidos en sus cuentas.

Seguir Leyendo

Instalación y Configuración de TACACS

Introducción

Un servidor TACACS provee una ubicación centralizada AAA (Authentication, Authorization y Accounting) para dispositivos Cisco. La Autentificación de los usuarios se puede realizar de 2 maneras: Con la base de datos local del dispositivo o con el servidor TACACS. El modelo TACACS provee funcionalidades adicionales tales como la autorizacion de comandos específicos según el usuario, además de un registro histórico detallado de los accesos a los dispositivos y los comandos ejecutados.

En tacacs hay que tener en cuenta aspectos como: Ficheros de configuración, validación de usuarios, interfaces. Se podría aplicar la metodología top-down de Cisco. En el siguiente flujograma se analiza el funcionamiento de Tacacs.

A continuación describo el proceso de instalación y configuración de un servidor TACACS+ (tac-plus) en Linux Debian y tambien algunos de los comandos que se deben configurar en los dispositivos Cisco a través de su IOS.

Configuración del SERVIDOR instalación de TACACS

Antes de todo debemos agregar los repositorios para poder instalarlo. Para ello editamos nuestro fichero /etc/apt/sources.list y agregamos las siguientes líneas

deb http://ftp.hu.debian.org/debian/ squeeze main non-free contrib
deb-src http://ftp.hu.debian.org/debian/ squeeze main non-free contrib

Actualizar las fuentes con el comando #apt-get update

#apt-get install tacacs+

Para parar el servidor tacacs

/etc/init.d/tacacs_plus stop

Para iniciar el servidor tacacs

/etc/init.d/tacacs_plus restart

Archivos del servicio

/var/log/tacacs+/account.log (debe ser escribible, no ReadOnly)
 /var/tmp/tac_plus.log (log del servicio)
 /etc/init.d/tacacs_plus (script de inicio)
 /etc/tacacs+/tac_plus.conf (usuarios y configuracion global)
 /usr/sbin/tac_plus (ejecutable)

Para crear contraseñas cifradas en des:

htpasswd -n username

(Debes tener instalado Apache2 para que te reconozca la intrucción)

Archivo de configuracion del servicio TACACS

/etc/tacacs+/tac_plus.conf

Este usuario tiene todos los permisos

user = admins {
 default service = permit
 login = des 70e4lCVGyWSKM
 }

Este usuario solo puede ejecutar los comandos ‘show ip’ y ‘show interface’

user = users {
 default service = deny
 login = cleartext test
 cmd = show
 {
 permit ip
 permit interface
 deny .*
 }
 } 

Configuracion de un Router

Cada comando AAA en el router describe el proceso de autentificacion y autorizacion y el orden en que se intenta ejecutar los diferentes metodos configurados.

aaa new-model

Orden de Autenticacion

aaa authentication login default tacacs+ enable
 aaa authentication enable default tacacs+ enable

Para conexiones ISDN

aaa authentication ppp RAS local

Debe tener las siguientes 2 lineas para indicar explicitamente los comandos de autorizacion. Los comandos correspondientes al User level del usuario se permitiran aun si el servidor TACACS no se encontrase disponible pero el usuario de igual manera se encuntra autentificado

aaa authorization exec tacacs+ if-authenticated
 aaa authorization commands 1 tacacs+ if-authenticated

Si el servidor TACACS no se encuentra disponible, los comandos Enable solo se podran ejecutar desde una consola (configure terminal, copy cmd etc)

aaa authorization commands 15 tacacs+ if-authenticated
 aaa authorization network tacacs+

Contraseña enable cuando el servidor TACACS no se encuentra disponible

aaa accounting exec start-stop tacacs+
 aaa accounting commands 1 start-stop tacacs+
 aaa accounting commands 15 start-stop tacacs+
 aaa accounting network start-stop tacacs+
 aaa accounting system start-stop tacacs+
 enable password tester

El siguiente comando permite ejecutar culaquier comando si el servidor TACACS no se encuantra disponible

aaa authorization exec tacacs+ none

Si el servidor TACACS no se encuentra disponible, el prompt que se mostrara sera el login estandard de Cisco, con la diferencia de que en vez de emplear una contraseña para el VTY y una para el enable, se empleara la misma contraseña de enable tanto para el login como para el enable del router. Ejemplo:

Building configuration…
 !
 Current configuration:
 !
 version 11.1
 service config
 no service udp-small-servers
 no service tcp-small-servers
 hostname tacacstest
 !
 aaa new-model
 aaa authentication login default tacacs+ enable
 aaa authentication enable default tacacs+ enable
 aaa authentication ppp RAS local
 aaa authorization exec tacacs+ if-authenticated
 aaa authorization commands 1 tacacs+ if-authenticated
 aaa authorization commands 15 tacacs+ if-authenticated
 aaa authorization network tacacs+
 aaa accounting exec start-stop tacacs+
 aaa accounting commands 1 start-stop tacacs+
 aaa accounting commands 15 start-stop tacacs+
 aaa accounting network start-stop tacacs+
 aaa accounting system start-stop tacacs+
 enable secret 5 $1$y1cB$sSAl.2azaTPo9GoPO3fp0.
 !
 interface Ethernet0
 ip address 192.168.1.2 255.255.255.0
 no cdp enable
 !
 interface Serial0
 no ip address
 shutdown
 no fair-queue
 !
 interface Serial1
 no ip address
 shutdown
 no cdp enable
 !
 interface BRI0
 no ip address
 shutdown
 !
 line con 0
 exec-timeout 0 0
 password whatever
 login authentication conmethod
 line aux 0
 line vty 0 4
 exec-timeout 0 0
 !
 end

Seguir Leyendo

Instalar Webmin sobre CentOS

Webmin es una herramienta de administración para servidores muy buena y si quiere probarla instalarla no es para nada un problema. Con Webmin puedes administrar muchos aspectos de tu servidor como Apache, PHP, MySQL, DNS, Samba, DHCP, entre otros.


Webmin está escrito en Perl, versión 5, ejecutándose como su propio proceso y servidor web. Por defecto se comunica a través del puerto TCP 10000, y puede ser configurado para usar SSL si OpenSSL está instalado con módulos de Perl adicionales requeridos.
Codificado por el australiano Jamie Cameron, Webmin está liberado bajo Licencia BSD.
Instalar Webmin en CentOS 5.x es sumamente simple, sólo sigue estos 3 pasos:
Paso 1: Conseguir el RPM, correr este comando

wget http://prdownloads.sourceforge.net/webadmin/webmin-1.580-1.noarch.rpm

No te olvides visitar la web oficial de Webmin para comprobar la última versión disponible, al momento de hacer este tutorial era la version 1.580-1, solo debes reemplazar el numero de la versión por el actual y listo

Paso 2: Instalar el RPM, correr este comando

rpm -U webmin-1.580-1.noarch.rpm

Paso 3: Necesitamos abrir el puerto 10000. Correr este comando

iptables -I INPUT -p tcp --dport 10000 -j ACCEPT

Eso es todo, ahora necesitas ingresar con Webmin, puedes hacerlo desde http://direccionIP:10000

Seguir Leyendo