/*codigo slider*\

miércoles, 26 de marzo de 2014

Algunos problemillas con IPv6

, 25 marzo 2014 | Imprime
(N.d.E. Hoy tenemos una entrada de Vicente Dominguez, un viejo amigo que hace algún tiempo que decidió comenzar un aventura por su cuenta, que esperamos que le vaya muy bien :)
Después de dar con la entrada de Nacho del mes pasado me fue inevitable eludir mi desviación profesional después de años y años trabajando en un centro de datos y recordé el sobre-esfuerzo que requiere la adaptación a la version 6 de IP para una mente humana que viene de la version 4.
Además de los magníficos problemas que en recursos requiere los 128 bits por cada dirección en su enrutado, las complicaciones para los IDS en recursos y firmas y el mal manejo de algunas utilidades de toda la vida, están los que yo sufrí: los de la mente humana. Éstos lo dejo para el final.

Si nos vamos a la seguridad, que es de lo que va el blog, se me ocurren algunos puntos a tener en cuenta sobre el “rocambolesco” mundo IPv6 con algunas utilidades. Sin pensar demasiado y como ejemplo:
  • Para empezar: las máscaras. Si metéis el típico /24 o /32 en IDS, firewalls o utilidades (por herencia pura) os vais a encontrar examinando 1000 millones o 4 mil millones de direcciones. Ojo con tener reglas que indican el guardado en BBDD de direcciones aplicando estas máscaras. Vais a necesitar mucho mucho espacio, amigos.
  • Más ejemplos: Nmap no permite rangos clásicos. Las formas 192.168.2.* y 192.168.2-30 no funcionan con IPv6. Ojo a esos scripts de autodiscovery de algunas redes.
  • Nping no funciona con rangos directamente en IPv6. Fyodor dice que: “CIDR and octet ranges aren’t supported for IPv6 because they are rarely useful” (Ref: http://nmap.org/book/nping-man-target-specification.html)
  • hping2 no tiene IPv6. O por lo menos no el que uso.
  • Lynx requiere de versión específica compilada.
  • Curl. Este es buenísimo. Las direcciones de IPv6 van entre comillas y entre corchetes aplicando el globoffporque si no, no “parsea” bien. ¡Oh! ¡Cuántos agentes de monitorización dirán adiós! (Ref:http://vicendominguez.blogspot.com/2014/03/curl-IPv6-common-errors-using-direct-ip.html)
  • Medusa en FreeBSD me da un segmentation fault. ¡Genial!
  • Necesitamos cambiar el bind de algunos servicios si están forzados a una interfaz concreta o no será posible alcanzarlos.
  • Iptables, ping y traceroute (entre otros…) usan nuevas utilidades específicas: ip6tables, ping6 y traceroute6.
  • El resto de utilidades requieren de parámetros específicos para invocar el uso de IPv6. ¿Alguna vez será este el uso por defecto de la tool? Quien sabe.
La consecuencia directa de todos estos cambios levanta un claro punto débil: la mente humana.
Es fácil pensar que si todo esto cambia es necesario volver a configurar todo lo ya configurado anteriormente, pero ahora, para este nuevo stack.
Como comentábamos. Las firmas de vuestros IPS, IDS, la cantidad de los datos a guardar y el rango de ips a monitorizar cambia en cualquier IDS que instaleis para este stack. Huelo a vectores de ofuscación fácil. Si no tengo firma o no escucho ahí, no lo veo. O caemos, o nos acordamos, o se nos escurren.
Scripts de monitorización basados en curl, ping, necat, socat etc etc… requieren o nuevas aplicaciones (ping6, traceroute6…) o nuevos parámetros (-6 esta intentando estandarizarse como parámetro de facto para la invocaciones para IPv6). Adaptarse o morir.
Las reglas de firewall tienen que aplicarse en ambos stacks: IPv4 y IPv6 compañeros. Y ambos deben de estar ON amigos. En el caso de linux iptables, pero ahora, ip6tables también.
Con todo esto llegamos de lleno a pruebas más reales. No espereis nada del otro mundo. O por lo menos no por aquí ;) (N.d.E. Voy a perdonarle a Vicente ese desliz…).
Es posible pedir a Hurricane Electric un tunnel IPv6 gratis. No cuesta nada pedirlo y es cero-cero configurarlo. En FreeBSD no me llevó ni dos minutos activarlo. No se como será el resto.
Hecho esto y habiendo leído parte del artículo, no tardamos en darnos cuenta de lo diferente que se comportan los sistemas.
Los IIS7 de las páginas del Ministerio de Industria actúan de forma diferente según stack. Cojo de ejemplobandaancha.es.
host www.bandaancha.es

www.bandaancha.es has address 193.146.1.84
www.bandaancha.es has IPv6 address 2001:720:438:400::84
Uso normal: Redirect!
curl -i -A Chrome http://www.bandaancha.es
HTTP/1.1 302 Redirect
Content-Type: text/html; charset=UTF-8
Location: http://www.minetur.gob.es/telecomunicaciones/banda-ancha/Paginas/Index.aspx
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Mon, 24 Mar 2014 07:39:25 GMT
Content-Length: 209
IPv4: Welcome
curl -i -A Chrome 193.146.1.84
HTTP/1.1 200 OK
Content-Type: text/html
Last-Modified: Tue, 26 Jul 2011 15:34:53 GMT
Accept-Ranges: bytes
ETag: "ad1be390a94bcc1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Mon, 24 Mar 2014 07:38:03 GMT
Content-Length: 689





IIS7

lunes, 10 de febrero de 2014








Sergio Velázquez Juárez

Descripción: logo

miércoles, 5 de febrero de 2014

Recorriendo los Caminos de EnCase: EnCase Para Pequeñas Organizaciones: Cómo Auditar Los Archivos De Imágenes Rápidamente.

Recorriendo los Caminos de EnCase: EnCase Para Pequeñas Organizaciones: Cómo Auditar Los Archivos De Imágenes Rápidamente.



En la actualidad se están cometiendo muchos fraudes internos o externos en las pequeñas organizaciones, esto sucede por tenerse expuesta determinada información, ya sea en Internet o dentro de ella. Y una manera de cometer fraudes es utilizar la modalidad de captura imágenes de la pantalla cuando otro empleado está visitando páginas o sitios web En especial de bancos en línea o ingresando a cuentas de correos electrónicos corporativos o comerciales y bases de datos o sistemas de información de la organización. Esto con el fin de conseguir contraseñas e información de interés para luego cometer fraudes informáticos (robo de datos, pagos no autorizados, transacciones extrañas y otros fraudes que hacen perder dinero, también fraude con tarjetas de crédito).

Es por ésta razón que las pequeñas organizaciones deben tener establecido en sus planes de auditoria o investigaciones, la revisión frecuente  de las imágenes contenidas en las computadoras corporativas. Para  así identificar y prevenir fraudes o el mal uso del recurso informático por parte de los empleados.

Mal Uso Informático: Nos referimos especialmente al realizar auditorías o investigaciones y se encuentran capturas de pantallas con imágenes de lo que los empleados están haciendo a través de la computadora corporativa. Como visitar páginas con contenido pornográfico,  revisión de páginas de bancos, realizar extorsiones, uso indebido de correo electrónico, entre otros, cometidos a través de los recursos proporcionados para el trabajo y no para otro fin.




Fraude Interno: Así mismo, los fraudes internos son cometidos por empleados de la propia organización de manera solitaria o en colaboración de otras personas, para obtener un beneficio por lo general de tipo monetario. También el fraude externo es el que realiza una persona ajena a la organización, como puede ser un proveedor o un cliente.  Estos incidentes pasan por la dificultad de administrar grandes cantidades de datos que se procesan en empresas u organizaciones.



Por lo anterior, para cometer fraudes dentro de una pequeña organización, una modalidad es la captura de imágenes de la pantalla, con el fin de guardar información que posteriormente les puede servir para cometer fraudes. Los más conocidos  son: almacenamiento de contraseñas de accesos de los usuarios, información de clientes, proveedores, entre muchos datos de interés para el empleado.  En vista de esto,  pequeñas organizaciones están complementando su seguridad con herramientas especializadas para realizar auditorías de manera remota. Previniendo  vulnerabilidades que puedan afectar la información de la empresa y vigilar que los empleados estén tomando información sin autorización para otros fines. Estas auditorías se realizan utilizando EnCase Enterprise o EnCase Forensic, herramientas que permiten monitorear de forma remota equipos dentro de la empresa y así prevenir fraudes o fugas intencionales o no intencionales de información.





Para éste tipo de casos y con el fin de monitorear  la red, los dueños o administradores de tecnología de pequeñas empresas,  pueden buscar información que revelen qué está tratando de cometer los empleados. Previsualizando si existe captura de imagen de la pantalla, en su gran mayoría son almacenadas en formato imágenes (archivos con extensión .jpg).  A continuación se muestran algunos ejemplos de los lugares que se pueden auditar o inspeccionar de una manera rápida en los computadores de  la organización:





En primer lugar, para inspeccionar  la computadora, una manera simple es realizar previsualización de las carpetas comunes de forma manual. Como por ejemplo las carpetas de usuario se encuentran todas en el interior del directorio con el nombre del usuario del equipo en la ruta C:\Documents and Settings\NombreDeUsuario\My documents(para Windows xp).  Por default algunas imágenes siempre se almacenan en ésta carpeta y allí es una manera fácil de ubicar carpetas o archivos.

También otras carpetas comunes o especiales para auditar rápidamente, son las que se encuentran en la rutaC:\Users\NombreDeUsuario (para Windows 7). Los Archivos temporales de internet (directorio donde se guardan los archivos temporales del navegador Internet Explorer, se almacenan tanto archivos html como imágenes de las páginas web visitadas). Cache de búsquedas hechas en Windows (Se almacenan todos los datos de las búsquedas hechas por el usuario):
  



Pero hay maneras más fáciles como previsualizar de forma remota el computador de un empleado y explorar si existe captura de imágenes de pantallas es la Galería de imágenes. La cual previsualiza todas las imágenes contenidas dentro del dispositivo auditado o examinado; así se puede dar una idea del tipo de imágenes que consulta y almacena el empleado de la pequeña organización:




También un sitio para visualizar archivos, es revisar la papelera de reciclaje, así se puede identificar lo que el empleado esta eliminado y determinar si existe probabilidades que este cometiendo algún tipo de fraude o mal uso informático:




Otra opción un poco mas avanzado para encontrar imágenes es crear una condición por tipo de archivo,  que filtre las extensiones de las imágenes buscadas. De ésta manera se visualiza sólo el tipo de archivo requerido como se muestra a continuación:



Un ejemplo mucho más avanzado donde el examinador forense profesional puede encontrar imágenes,  es realizar una búsqueda  por el encabezado del archivo, para éste caso imágenes en formato JPEG. Recordemos que si un funcionario está cometiendo algún delito, lo obvio es que esté eliminado cualquier rastro.  Por lo tanto,  buscar por el encabezado del archivo, a través de criterio de búsqueda  por palabra clave  y con clave tipo GREP. También en esta búsqueda se puede incluir espacio no asignado o clúster no asignado.  Éste procedimiento se debe hacer ubicando los códigos hexadecimales FF D8 FF seguido por ya sea de FEE1DB,E0, o EE. Conformando una palabra clave GREP como la siguiente:


\xFF\xD8\xFF[\xFE\xE1\xDB\xE0\xEE]








Es de resaltar que el resultado de ésta búsqueda de tipos de archivos JPEG, en algunos casos devolverán una imagen parcial cuando sólo ha sido posible recuperar una parte del archivo y ésta contiene el sector inicial. Por tal motivo encontrará archivos de imágenes incompletas, que también de una u otra manera proporcionan información de lo que están haciendo y eliminando los empleados dentro de la organización.




Como vimos en los ejemplos anteriores, una pequeña empresa a cargo del dueño, gerente o en su defecto el administrador de tecnología de la información, debe tener conocimiento al realizar auditoria de qué  y dónde buscar imágenes. Utilizando de una manera rápida herramientas como EnCase Enterprise y EnCase Forensic. Herramientas que permiten establecer que hacen los empleados, evitando así fraudes o fuga de  información confidencial a terceros consciente o inconscientes. 



Por eso no se puede dejar el patrimonio de las pequeñas empresas al cuidado de la buena voluntad de los empleados, mucho menos en situaciones de riesgo. De ahí que, proteger a la empresa de posibles fraudes se convierte, en buena medida, en un objetivo estratégico y evitar grandes pérdidas monetarias y de reputación.

martes, 21 de enero de 2014

Ingenieros Alemanes crean malware que se comunica a través del sonido

malwareTP 680x400 Ingenieros Alemanes crean malware que se comunica a través del sonido
Ingenieros alemanes crearon un malware capaz de transmitirse a través del sonido, incluso si los equipos no están conectados a internet.
La manera en que estos científicos consiguen transmitir su virus cibernético es a través de micrófonos y altavoces. El virus fue diseñado por investigadores del Fraunhofer Institute (FKIE) como parte de una prueba de la idea, pero han demostrado que funciona.
El malware es capaz de extraer datos confidenciales desde un equipo infectado y mandarlas a otro a través de ondas de sonido inaudibles, utilizando los micrófonos y altavoces integrados en cualquier computadora estándar. Por el momento el rango de alcance de transmisión de datos por sonido de este virus es de 19 metros de distancia. No obstante que la distancia sea relativamente pequeña, el virus puede crear una red de computadoras infectadas entre los que puede transmitir datos por sonido, alcanzando así distancias mucho mayores.
virus+ Ingenieros Alemanes crean malware que se comunica a través del sonido
Lo conseguido por la gente del FKIE es el resultado de un experimento que no prosperó, pues originalmente formaba parte de un proyecto para transmitir datos acústicamente bajo el agua. Sin embargo, no consiguieron la velocidad suficiente para que fuera exitoso, ya que sólo pudieron conseguir transferencias de datos a una velocidad de 20 bits por segundo, una velocidad lenta pero suficiente para enviar contraseñas personales, por ello decidieron darle un giro a la investigación.

lunes, 20 de enero de 2014

ISO 22301:2012 el estándar de la continuidad del negocio

ISO 22301:2012 el estándar de la continuidad del negocio



Como parte de la gestión de la seguridad de la información es muy importante tener un plan de contingencia para garantizar la continuidad del negocio. El estándar certificable y auditable ISO 22301:2012, puede utilizarse como guía para establecer un modelo que garantice la seguridad de la información en caso de una emergencia.

En el 2007 se publicaba la norma BS 25999, el primer estándar certificable que definía los requisitos y buenas prácticas que debería seguir una empresa, independiente de su tamaño, para implementar un sistema para la gestión de la continuidad del negocio. Después de una serie de revisiones, fue publicado el estándar ISO 22301:2012 que basado en el ciclo de mejora continua, plantea los pasos para planear, implementar, operar, revisar y mejorar la gestión de la continuidad del negocio.

Como parte de los requerimientos que se deben tener en cuenta dentro de la implementación de este estándar es la definición de las necesidades de la organización, lo cual se logra estableciendo un alcance determinado. Debe quedar muy claro cuáles son los procesos que quedan cubiertos por los planes de continuidad.
La selección de los procesos incluidos en el alcance del sistema, debe estar basado en la definición del apetito al riesgo, el cual debe ser aprobado por la dirección de la organización, para garantizar que esté conforme con la definición estratégica de la organización.

Para una organización iniciar con la implementación de este modelo de continuidad, lo más recomendable es empezar por lo más general e ir particularizando de acuerdo a las características de cada proceso.

Siguiendo este orden de ideas debería iniciarse con el Análisis de Impacto en el Negocio, respetando el nivel de apetito al riesgo. De esta forma se pueden definir los requerimientos de recursos y la estructura de para responder a incidentes.

El resultado de estos análisis deben quedar plasmados en el Plan de Continuidad del Negocio (BCP, Business Continuty Planning), uno de los requisitos documentales fundamentales de la ISO 22301:2012, debe contemplar las acciones que la organización debe seguir para recuperar y restaurar las actividades críticas del negocio en un tiempo prudencial y de manera progresiva regresar a la normalidad; garantizando en todo momento la integridad, confidencialidad y disponibilidadde la información.

Lo más importante dentro de la gestión de la continuidad del negocio es que los planes de continuidad sean probados. De nada sirve tener todo documentado, definidos los responsables, contar con la tecnología de respaldo si no se hacen pruebas para determinar que las actividades definidas para responder ante una emergencia son las adecuadas para la organización. Si bien el estándar es único, la forma en que se desarrolla y se aplica es único y debe estar en concordancia con los procesos más críticos del negocio.

Como se puede observar los requerimientos que exigen esta normatividad, están en concordancia con la serie de normas ISO 27000 para la gestión de la seguridad de la información. La continuidad del negocio es fundamental para garantizar que las operaciones más críticas del negocio sigan funcionando de tal forma que los clientes no se vean afectados, pero siempre garantizando la seguridad de la información. Y recuerden hay que planear para lo peor, esperando siempre lo mejor.

Fuente: ESET Latianomérica

Leer más: Segu-Info: ISO 22301:2012 el estándar de la continuidad del negocio http://blog.segu-info.com.ar/2014/01/iso-223012012-el-estandar-de-la.html#ixzz2qwrkBAbA 
Under Creative Commons License: Attribution Non-Commercial Share Alike 
Mucho más de Seguridad Informática Segu-Info

viernes, 3 de enero de 2014

La seguridad de la nube es un problema terrenal

La seguridad de la nube es un problema terrenal

La capacidad de las organizaciones de controlar y personalizar las funciones de seguridad de los servicios basados en la nube, tales como correo electrónico, calendarios, gestión de contenidos, colaboración y comunicaciones unificadas, se está convirtiendo en un requisito imprescindible hoy en día.

Las áreas de TI se encuentran con el desafío de dar acceso a la información desde dispositivos no provistos por la compañía, algo que se conoce como BYOD (Bring Your Own Device), lo que representa un problema si no se cuenta con una solución que permita hacer una buena gestión de esos dispositivos, que al final del día pueden ser un peligro inminente para el manejo de información confidencial.

Esta más que claro que la movilidad hace a la productividad del empleado al fin del día y es por eso que las organizaciones requieren un servicio de nube que tenga características de seguridad robusta incorporadas y una amplia variedad de funciones personalizables que permitan satisfacer necesidades individuales.

La seguridad de Office 365 consta de tres partes fundamentales:

1. Es un servicio que tiene funciones de seguridad incorporadas al servicio por defecto. Estas funciones permiten identificar proactivamente y mitigar las amenazas de seguridad antes de que se convierten en riesgos para los clientes.

2. Ofrece controles de seguridad que permiten a los clientes personalizar su configuración de seguridad, esto aplica a clientes de todos los tamaños a través de prácticamente todas las industrias, incluyendo industrias altamente reguladas tales como salud, finanzas, educación y gobierno.

3. Cuenta con procesos de seguridad escalables que permiten la verificación independiente y cumplimiento de estándares de la industria.

Los datos en Office 365 se almacenan en datacenters ubicados estratégicamente alrededor del mundo. Estos centros de datos se construyen especialmente para para proteger datos y servicios ante daños por desastres naturales o acceso no autorizado. Están replicados en varias partes del mundo para garantizar la redundancia y la alta disponibilidad de la información alojada en ellos.

El acceso al centro de datos está restringido para que sólo el personal autorizado tenga acceso a servicios y aplicaciones del cliente. El acceso físico utiliza múltiples procesos de autenticación y seguridad, incluyendo insignias y tarjetas inteligentes, escáneres biométricos, agentes de seguridad local, video vigilancia continua y autenticación de dos factores.

Los centros de datos son monitoreados mediante sensores de movimiento, video vigilancia y alarmas de seguridad de incumplimiento.

Una de las razones por las cuales Office 365 es escalable y de bajo costo es que es un servicio de multi-tenant (es decir, datos de diversos clientes los mismos recursos de hardware). Es un servicio que está diseñado para manejar información de múltiples clientes en una forma altamente segura mediante aislamiento de datos.

El almacenamiento y procesamiento de los datos está regulado por las capacidades y la estructura de Active Directory, lo que permite proteger los datos de un cliente para que no puedan ser accedidos ni comprometidos por otra persona. Por un costo adicional, está disponible una versión de Office 365 que almacena datos en hardware dedicado.

Las redes dentro de los centros de datos de Office 365 están segmentadas para proporcionar la separación física de servidores críticos y dispositivos de almacenamiento de las interfaces públicas. La seguridad perimetral permite la capacidad de detectar intrusiones y signos de vulnerabilidad.

Las conexiones de cliente de Office 365 utilizan SSL para asegurar el tráfico de datos desde y hacia Outlook, Outlook Web App, Exchange ActiveSync, POP3 e IMAP. Estas conexiones se encriptan con seguridad del tipo TLS y SSL. Los clientes pueden configurar TLS entre Office 365 y servidores externos para el correo electrónico tanto entrante como saliente. Esta característica está habilitada de forma predeterminada. Todos los contenidos enviados mediante el correo electrónico están cifrado en disco utilizando encriptación AES de 256 bits. Office 365 también transporta y almacena mensajes del tipo S/MIME.

Mencionamos la cuestión de las normas y office 365 se ajusta perfectamente a aquellos clientes que están siendo auditados o tienen que cumplir con ciertas normativas internacionales. Alineado con esta cuestión Office 365 está basado en los estándares definidos por la ISO 27001 y opera bajo FISMA.

Por último y no menos importante ciertos planes de Office 365 incluyen DLP (Data Lost Prevention) lo que permite a los clientes a partir de reglas evitar la pérdida o fuga de información.

Las empresas de hoy necesitan servicios de productividad que ayudan a los usuarios a hacer más cosas desde prácticamente cualquier lugar, sin descuidar la seguridad frente a las amenazas en constante evolución.

Office 365 es compatible con ambas necesidades a la vez con una plataforma de productividad basada en la nube de alta seguridad. Desde un centro de confianza incluido en la consola web de administración del servicio se pueden gestionar la seguridad, la privacidad, el cumplimiento, la transparencia y la continuidad del servicio. Hoy en día, cada vez son menos las organizaciones que tienen la capacidad de mantener el nivel de seguridad requerido a un costo razonable.

Fuente: CIOAL

Leer más: Segu-Info: La seguridad de la nube es un problema terrenal http://blog.segu-info.com.ar/2014/01/la-seguridad-de-la-nube-es-un-problema.html#ixzz2pKxFwAxQ 
Under Creative Commons License: Attribution Non-Commercial Share Alike 
Mucho más de Seguridad Informática Segu-Info

Related Posts Plugin for WordPress, Blogger...