/*codigo slider*\

domingo, 17 de junio de 2012

Crackear wifi en Windows

Crackear wifi en Windows

Como hemos podido ver en post anteriores donde se comentaba como Crackear WEP, los tutoriales más usados y comentados son hechos sobre plataformas Linux, eso hace que para los usuarios de Windows sea más complicado trabajar con comandos, debido al poco uso que se da en Windows.
Hoy vamos a Crackear WEP con un equipo con SO Windows sin necesidad de ningún comando, y con pocos pasos, dejemos ya la teoría y pasemos a la práctica.
Necesitamos los siguientes programas:

lunes, 11 de junio de 2012

¿El mejor estándar para gestionar la seguridad de la información? | Blog de Laboratorio de ESET

¿El mejor estándar para gestionar la seguridad de la información? | Blog de Laboratorio de ESET: Cada vez es más común que una organización decida iniciar un proyecto para implementar su Sistema para la Gestión de la Seguridad de la Información (SGSI), ya sea para formalizar lo que tiene o desarrollar algo desde cero, generalmente para cumplir alguna reglamentación, brindarle un valor agregado a sus clientes o porque la realidad competitiva de la organización la lleva a gestionar la seguridad de la información de su empresa de forma integral. Durante las primeras etapas surgen preguntas como: ¿cuál es el estándar que debería seguir?, ¿cuantos estándares existen?, ¿es necesario implementar más de uno?.

Antes de aventurarse a dar una respuesta a estas preguntas, es importante tener en cuenta que el objetivo de este sistema es garantizar la integridad, la confidencialidad y la disponibilidad de la información de la organización. Lograr este objetivo se fundamenta en una adecuada gestión de riesgos, que incluye la identificación y valoración de los riesgos y las medidas de control, preventivas y correctivas, sobre todos los medios a través de los cuales fluya la información (servidores, equipos de comunicación, aplicaciones, computadoras personales,  personas, archivos físicos, etc ), los cuales se denominan activos de información.

Con el objetivo claro, es momento de pensar en estándares o guías que faciliten la implementación del sistema, para lo cual las preguntas iniciales podrían ser transformadas en una: ¿Cuál es el mejor estándar para mi empresa?. Aunque esta pregunta no tiene una respuesta única, pues esta asociada a la realidad de cada organización, es en este punto donde aparecen una gran cantidad de estándares, nombres, siglas y guías que de no tener cuidado convierten la búsqueda y elección en una tarea abrumadora. El estándar más general y completo para la gestión de la seguridad de la información es la familia ISO 27000, que incluye en sus dominios, entre otros, la gestión de activos, la seguridad asociada al recurso humano, la gestión de comunicaciones y operaciones, el control de acceso y la gestión de la continuidad del negocio, todo enmarcado en un ciclo PHVA (planear-hacer-verificar-actuar; en inglés se denomina PDCA, plan-do-check-act) que busca la mejora continua de los procesos, concepto introducido por Walter A. Shewhart y desarrollado por Edwards Deming como parte de la teoría del Total Quality Management (TQM). Otros estándares como Magerit, Marion, Mehari y Octave son más específicos, desarrollados para una región particular y para la gestión de riesgos de empresas con diferente naturaleza operativa. Suelen ser menos robustos y según el alcance que se le quiera dar al proyecto pueden ser una muy buena alternativa.


En este proceso de búsqueda, surgen otras opciones que si bien no son estándares para un sistema de este tipo son una gran herramienta para mejorar la gestión de las áreas de TI. Entre las más populares está CobiT, un marco de control para la gobernabilidad de TI que busca la gestión de procesos relacionados con tecnología de la información y su integración con el negocio. Otra opción es ITIL, un marco de servicios donde se recopilan las mejores prácticas para la gestión de servicios que tienen que ver con tecnologías de información. Tanto CobiT como ITIL no son estándares son marcos de trabajo (frameworks) que proveen al usuario mejores prácticas para la gestión de lo relacionado con TI, y como tales no deben aplicarse al pie de la letra, y sí adaptarse para cada situación. Además, se integran perfectamente con ISO 27000, ya que igualmente están concebidos sobre el ciclo PHVA, además se pueden mapear entre sí. COSO es otro modelo, que extiende el modelo de gestión de riesgos a un sistema de control interno que abarque la compañía desde su planteamiento estratégico hasta procesos de autoevaluación.

Es muy importante no perder de vista que cuando se habla de seguridad de la información no solamente se refiere a garantizar seguridad con equipos y aplicaciones, siendo esta una parte fundamental y prioritaria, sino que también el panorama se extiende para incluir al recurso humano y políticas claras que dirijan el accionar del sistema. Para conocer más sobre gestión de la seguridad puedes visitar  el curso de Seguridad para PyMES disponible en la Plataforma Educativa de ESET Latinoamérica.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

viernes, 8 de junio de 2012

IPv6 tutorial: Understanding IPv6 security issues, threats, defenses

IPv6 tutorial: Understanding IPv6 security issues, threats, defenses

IPv6 myths: Debunking misconceptions regarding IPv6 security features
By Fernando Gont, Contributor
IPv6, the latest version of the Internet Protocol, is expected to coexist with and eventually replace IPv4, providing a larger address space to support future Internet growth.
However, since IPv6 was first specified, a number of myths and fabrications have arisen about IPv6 features in the areas of quality of service (QoS), “plug-and-play” and particularly IPv6 security. Many of these misconceptions have been fueled by IPv6 proponents, who may have thought their marketing-heavy statements would foster IPv6 deployment. Unfortunately, not only did such an attempt fail (as IPv6 is only just now taking hold because v4 addresses are running out), but many of these misconceptions are also believed to be the truth, leading to false expectations regarding IPv6 properties and IPv6 security features.
Read the rest of our IPv6 tutorial featured tip: Debunking misconceptions regarding IPv6 security features
More information on IPv6 security:
NEW -- Analysis: Vast IPv6 address space actually enables IPv6 attacks
It is widely assumed that, due to IPv6’s increased address space, IPv6 host-scanning attacks would take so much effort and time on the part of the attacker that they are practically unfeasible. However, according to expert Fernando Gont, this is more of an urban legend than a result of a careful analysis.
By reviewing how IPv6 addresses are configured on the Internet, this tip provides a more realistic perspective on the feasibility of IPv6 attacks.
Understanding  IPv6 security issues: IPv6 transition mechanisms
The “new” Internet Protocol, IPv6, is intended to enable virtually unlimited Internet growth in the years ahead. However, since IPv6 is not backwards-compatible with IPv4, a variety of transition/co-existence mechanisms were created so the introduction of IPv6 in the IPv4-dominant Internet, and the co-existence of both protocols, is facilitated.
In this tip, Fernando Gont discusses these IPv6 transition mechanisms, including dual-stack, translation and tunneling, and explains why those mechanisms introduce enterprise IPv6 security issues and concerns.
Requirements for secure IPv6 deployments include better IPv6 tester tools
The lack of available IPv6 tester tools and other IPv6 tools mean most deployments of the protocol are in need of security hardening. More staff training, industry research and improved IPv6 support and tester tools are essential for secure IPv6 deployments in the enterprise.
This article discusses how these factors can affect the security of IPv6 network deployments, and also explains the potential effects of these factors, and suggests possible ways to mitigate these shortcomings and ensure secure deployments of the new protocol.
Lagging IPv6 security features, vulnerabilities could hamper transition
According to security experts, the transition to IPv6 must be carefully planned at the enterprise level because suspect IPv6 security features, configuration issues and software vulnerabilities could weaken network security, and allow the protocol to be exploited by malicious hackers and open sensitive systems to attack.
IPv6 connectivity: Innovations address IPv6 security concerns
IPv6 is coming soon to an enterprise near you, but few organizations have invested much time or effort into understanding how it works, never mind how to secure it. Yet innovative researchers at Virginia Tech have created a tool, Moving Target IPv6 Defense, in order to address IPv6 security concerns and secure IPv6 network communications.
Book chapter: IPv6 implementation security issues
IPv6 is becoming a reality, but the protocol is far from perfect. In this section of Chapter 1 of his new book, IPv6 Security, author Eric Vyncke reviews some vulnerabilities of IPv6, including IPv6 security implementation and deployment issues, and discusses how the network-layer protocol compares with IPv4.
Looming IPv6 transition will strain federal cybersecurity
The heat is on federal agencies to transition to IPv6 and IPv4 address exhaustion approaches and agency managers have to think about IPv6 security vulnerabilities and threats as they migrate from IPv4 to IPv6. Experts suggest the Internet Protocol version 6 transition will not be easy for federal cybersecurity.
VeriSign CSO on new IPv6 threats,
Internet stability and security


VeriSign CSO Danny McPherson talks
about the new threats posed by the move
from IPv4 to IPv6 and the issues hindering
the the adoption of the next Internet protocol.
Move to IPv6 could help spambots churn out more spam, malware says botnet expert
The global spam volume is down due to the success of blacklisting IP addresses, but, according to malware expert Joe Stewart, antispam measures that rely on IP blacklisting could be less effective if Internet Service Providers take the wrong approach to IPv6.
Security architects fear savvy botnet attacks, IPv6 security issues
Security architects who monitor and manage many of the underlining systems that ensure smooth data flow across the Internet are getting anxious over IPv6 deployments.
While the transition to IPv6 offers a number of benefits, a lack of security support and knowledge of the new protocol could prompt an emerging wave of new botnet attacks targeting underlying systems, according to several security architects responding to a recent survey from Arbor Networks Inc.
Is a transition from IPv4 to IPv6 worth the effort?
Is a transition from IPv4 to IPv6 worth the effort? IPv6 was supposed to provide enhanced security by including IPsec as a standard feature, but this currently isn't enough incentive, because few organizations are currently running the new protocol. Should you follow their lead?
Network security expert Mike Chapple examines whether the transition is worth the effort by discussing what is involved in a transition from IPv4 to IPv6, as well as the potential benefits and setbacks that organizations going through the transition may encounter.
The IPv6 transition: How to ensure cybersecurity
With the pressure on federal IT managers to make the transition to IPv6, organizations are warned to remember the security lessons learned from IPv4's long run. The protocols may be different, but many of the security techniques and technologies are largely the same, and managers must make sure they are incorporated into the new protocol to ensure cybersecurity, according to government IT security experts.
Get ready for IPv6: Five IPv6 security issues to consider
Although IPv6 is a security-enabled protocol, migration from IPv4 can introduce new security risks and threaten an organization's security strategy. Expert Mike Chapple discloses the potential security implications and hazards of migrating to IPv6, and unveils how to ensure a smooth transition without jeopardizing your company's security.


www.KUNGFOOSION.com: Flame, ¿Una SUPER-Ciberarma?

www.KUNGFOOSION.com: Flame, ¿Una SUPER-Ciberarma?:

Un nuevo malware descubierto en Irán capturó la atención mundial por sus sofisticadas características, aunque algunos especialistas creen que se esta exagerando su complejidad.


El malware fue descubierto por la empresa rusa de antivirus Kaspersky Lab, quien al anunciar el hallazgo no dudo en llamar a Flame una "super-ciberarma", entre otros epítetos.

"all indicate that Flame belongs to the same category of super-cyberweapons." - Kaspersky Lab

Según Kaspersky, el propósito de Flame es el espionaje de las máquinas infectadas, robando documentos, tomando screenshots, capturando conversaciones por el micrófono e interceptando tráfico de red. Toda esta información luego sería enviada a servidores de command-and-control localizados en diferentes partes del mundo.
Flame tiene un llamativo tamaño de 20MB cuando todos sus módulos están instalados, los que incluyen múltiples librerías, bases de datos SQLite3, diferentes niveles de cifrado, 20 plug-ins opcionales para sus atacantes, y se especula que sus orígenes datan del 2007, fecha desde la cual ninguna empresa de antivirus lo ha detectado.
El nivel de sofisticación del malware, como que haya sido dirigido a países del Medio Oriente, siendo el principal afectado Irán, podrían dar indicios válidos para pensar que un estado se encuentra detrás del desarrollo del mismo, como se especula con Stuxnet y Duqu. Pero algunas declaraciones como que Flame es una super-ciberarma o que superó a Stuxnet parecen un poco apresuradas, más aun cuando los mismos investigadores de Kaspersky dicen que analizar completamente a Flame les puede llevar 10 años.

"It took us half a year to analyze Stuxnet," "This is 20 times more complicated. It will take us 10 years to fully understand everything." - Kaspersky Lab

Otros especialistas como Webroot, dicen estar en desacuerdo con las declaraciones hiperbólicas sobre Flame, y afirman que en términos de sofisticación este malware esta lejos de Zeus, Spyeye o TDL4.

"In terms of sophistication we believe it is nowhere near Zeus, Spyeye or TDL4 for example. Essentially Flame at its heart is an over-engineered threat that doesn’t have a lot of new elements to it--essentially a 2007 era technology." - Webroot

Me pregunto cuanto tiempo pasará antes de que comencemos a hablar sobre una cibercarrera armamentística, una ciberguerra preventiva, o un ciberataque realizado por los Transformers…


REFERENCIAS:
- NYTimes: Iran Confirms Attack by New Virus
- Kaspersky Lab and ITU Research Reveals New Advanced Cyber Threat
- Newly discovered malware most lethal cyberweapon to date
- Flame virus 'much bigger than Stuxnet'
- Massive Internet threat ‘Flame’ may be ‘most sophisticated cyber weapon yet unleashed’
- PCWorld: 'Flame': Lethal Cyberweapon or Media Hype?
- Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East
- Wired: Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers



Publicado por @KFS en www.KUNGFOOSION.com

miércoles, 6 de junio de 2012

Estrategias básicas para mitigar una ciberintrusión

Estrategias básicas para mitigar una ciberintrusión

El ICS-CERT ha publicado recientemente una serie de recomendaciones muy básicas sobre cómo mitigar una ciberintrusión dirigida, sobre todo, a entornos industriales e infraestructuras críticas, y aplicable tanto a redes empresariales como a sistemas de control. Aunque estas recomendaciones no entran en detalle en cada una de las acciones que se deben realizar, si que conviene tenerlas en cuenta, ya que proporcionan una serie de buenas pautas a seguir, importantes dentro de la seguridad en un entorno industrial.

1. Dónde comenzar: recomendaciones para detección y mitigación
  • Prevención de movimientos laterales: cuando descubrimos que hay un equipo comprometido en nuestra red, nuestra principal preocupación debería ser minimizar los movimientos laterales a través de la red. Es decir, no tiene sentido ir desinfectando equipo por equipo comprometido conforme se vayan detectando si la infección no ha sido contenida, ya que ésta seguirá expandiéndose. Es esencial que se identifique cuanto antes el grado de intrusión y en qué áreas de la red están los equipos comprometidos para aislarlos. Los movimientos laterales pueden ser identificados por diversas herramientas y técnicas como IPS, IDS, analizando los logs de firewalls, proxys, DNS o realizando capturas de paquetes.
  • Gestión de credenciales: El almacenamiento de credenciales en caché debería estar desactivado en todas las máquinas; la caché de credenciales almacena autenticadores de dominio localmente permitiendo a los usuarios iniciar sesión en un sistema usando credenciales de dominio, incluso si la máquina está desconectada de la red.
  • Una técnica muy común empleada por los ciberdelincuentes es “pass the hash”, técnica por la que, a través de los hashes de las contraseñas almacenados en la SAM o en la caché del sistema extraídos de una máquina comprometida, podemos acceder a otras máquinas del dominio.
  • Se recomienda, por tanto, desactivar en la medida de lo posible el almacenamiento de credenciales en caché en todas las máquinas. Cuando sea necesario almacenarlas, solo deberían guardarse las del usuario menos privilegiado, nunca las de la cuenta de administrador. Tras desactivar la caché de credenciales es necesario restablecer todas las contraseñas de nuevo, para asegurarnos de que las antiguas contraseñas no son válidas y las nuevas no se almacenan en local.
  • Se insta también a que las empresas dejen de usar hash LM ya que es débil y fácil de romper por fuerza bruta o por tablas precomputadas.
  • Benditos logs: A la hora de gestionar un incidente de seguridad, una de nuestras mayores fuentes de información son los registros o logs de los sistemas (sea a nivel de comunicaciones, aplicaciones o sistema). Se recomienda por tanto habilitarlos y guardarlos al menos durante seis meses. Son interesantes los de los firewalls, proxys, DNS, IDS, capturas de paquetes, flujos de datos de routers y switches, logs de aplicaciones y logs de host.
  • Registro de peticiones DNS cliente: se recomienda a las organizaciones desplegar un registro de peticiones DNS a nivel de host para que los administradores de red sean capaces de identificar el equipo interno que realiza una petición DNS específica, bien por nombre o por dirección IP ya que esto permite identificar a los equipos que están conectados a dominios maliciosos.
  • Comprobaciones de integridad en los equipos cliente: Si un hash MD5 se sabe que pertenece a un archivo malicioso, cualquier fichero con ese hash debe ser considerado sospechoso. Diversas herramientas forenses o HIDS pueden ayudarnos al respecto.
2. Recolección de evidencias
  • La recopilación de todos los datos forenses durante el proceso de respuesta ante el incidente es fundamental tanto para contener la intrusión como para mejorar nuestras defensas ante un posterior ataque. Ante todo se recomienda consultar con expertos en análisis forense para la recolección de las mismas. Lo más importante es documentar absolutamente todo lo que se va realizando tanto las medidas que se toman para paliar el incidente como las que no y por qué, fechas/horas, fotografías (de equipos, de cableados,etc), etc.
  • Es importante desactivar el antivirus en esta fase ya que los análisis del propio antivirus podrían cambiar la fecha de acceso de ficheros críticos así como evitar aplicar cualquier cambio en el sistema operativo o en el hardware (actualizaciones, parches,etc.) ya que se podría sobreescribir información relevante para la investigación.
3. Recomendaciones a largo plazo
  • Control ‘estricto’ de acceso basado en roles: se debe otorgar o negar el acceso a los recursos basándose en la función del trabajo que se realice, así se evita que los usuarios tengan acceso a equipos que no sean necesarios para su trabajo. Cada empresa debe definir grupos según roles y aplicar los permisos que le correspondan. Se permite una mejor auditoria y se reduce el riesgo reduciendo al mínimo los privilegios asociados a cada grupo. Esto provoca una segmentación de la red lógica que hace que sea más difícil para los atacantes moverse por la red después de una intrusión.
  • Segmentación de red: implica la separación de una gran red en redes funcionales más pequeñas usando firewalls, switches, u otros dispositivos similares. Una adecuada segmentación restringe la comunicación entre cada segmento, lo que disminuye el riesgo de que se produzcan movimientos laterales tras una intrusión.
  • Lo ideal sería que la red empresarial y la red del control de los sistemas estén físicamente separadas.
  • Se debe incluir también uno o más segmentos de DMZ, incluyendo los servicios externos de una organización que estén expuestos a Internet o los sistemas críticos accesibles desde múltiples segmentos de red internos.
  • Lista blanca de aplicaciones: permitir sólo la ejecución de lo estrictamente autorizado (en la lista blanca), prohibiendo la ejecución de cualquier software fuera de esa lista. Se recomienda implementar listas blancas en servidores como controladores de dominio o servidores de correo.
Este ha sido un breve y ‘personalizado’ resumen de las recomendaciones propuestas por el ICS-CERT. Si quieren ampliar este resumen no duden en leer la publicación: http://www.us-cert.gov/control_systems/pdf/ICS-TIP-12-146-01.pdf

Fuente: Security Art Work

Related Posts Plugin for WordPress, Blogger...