Archivo

Archivo del autor

Ethical Hacking , Analisis de Vulnerabilidades, pruebas de penetracion?

agosto 2, 2011 Deja un comentario

La tarea más importante como profesionales de seguridad dentro de nuestra organización es proteger y asegurar la información de manera efectiva. Existen muchos factores y tareas específicas pero básicamente la premisa es esa. Una vez que logramos tener un nivel aceptable de seguridad, esto es siguiendo un marco de referencia o estándar internacional, contar con políticas y procesos claros, responsabilidades asignadas e identificadas, entre otros, se debe evaluar el punto de vista de un atacante.

Una prueba de penetración o pentest simula los pasos a seguir para tomar control de los activos críticos de nuestra organización. Esto puede tener diferentes perspectivas, ya que muchas veces, dicho atacante puede ser un trabajador interno, un competidor, un externo con motivaciones sociales y políticas o parte de un grupo del crimen organizado.

De acuerdo con cifras del “2010 Data Breach Investigations Report,” que toma en cuenta más de 900 fugas de información y 900 millones de registros personales comprometidos realizado por Verizon y el Servicio Secreto de Estados Unidos, encontró que 69% de los incidentes estaban ligados a elementos externos, mientras que el resto, 49%, a personal dentro de la organización.

Hace 10 años, los análisis de vulnerabilidades se realizaban de manera mucho más directa. Inicialmente se detectaba un error de configuración o falla en aplicaciones y sistemas operativos. Posteriormente se atacaba con códigos y programas típicamente obtenidos de manera gratuita. Una vez que se lograba el acceso al equipo y de ahí a la red interna, se copiaban archivos y se dejaban algunas pruebas, como evidencia. Este era un proceso eficiente, ya que la mayoría de las ocasiones las herramientas correctas hacían el trabajo.

Las organizaciones en la actualidad tienen tecnología como detectores de intrusos, antivirus, firewalls, encripción y protocolos más seguros, por tanto los criminales han buscado nuevos vectores de ataque que les permiten atacar a grandes organizaciones identificando sus puntos débiles. Es importante desarrollar cualidades y capacidades en las personas encargadas de la administración de redes, programadores y usuarios finales de todos niveles.

A continuación algunos de los puntos clave para realizar una prueba de penetración en nuestra organización:

  • Identificar activos: Listar cada una de los valores del negocio, estos incluyen el capital humano, equipos, aplicaciones, documentación, entre muchos otros activos que se deben conocer y analizar de manera objetiva.
  • Asignar valores: ¿Cómo cumple su misión la organización? La organización debe ser consciente de la importancia de cada una de las piezas y analizar algunos casos extremos donde se deba prescindir de ciertas capacidades.
  • Administrar riesgos: ¿Existe manejo y administración de riesgos?, ¿Se encuentran los controles para mitigar riesgos?, ¿Qué es lo peor que puede pasar? Conocer las amenazas reales del negocio.
  • Entrevistar al personal: ¿Cuentan con capacitación para realizar sus funciones?, ¿Cuál es su nivel de conocimiento acerca de las políticas y reglas de la organización?, ¿Conoce cuáles son los riesgos del negocio? Es importante evaluar su desempeño, actitud hacia el trabajo y objetivos a corto y largo plazo.
  • Mejora continua: Se debe tener un proceso continuo de evaluaciones, donde se tenga un ciclo de planeación, implementación y revisión de resultados que permita ajustar los objetivos de tecnología con los del negocio.

 

Ataca con todo tus propios sistemas!!!!

 

Parches Críticos de julio para múltiples productos Oracle

agosto 1, 2011 Deja un comentario

Como viene siendo habitual, cada 3 meses Oracle emite su Critical Patch Update con la corrección de diversas vulnerabilidades que afectan a sus productos. En esta ocasión, se solventan 78 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometerseriamente la seguridad de los sistemas y servicios afectados.

Los fallos se dan en varios componentes de los productos:

* Oracle Database 11g Release 2, versiones 11.2.0.1, 11.2.0.2
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
* Oracle Database 10g Release 1, versión 10.1.0.5
* Oracle Secure Backup, versión 10.3.0.3
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0,
11.1.1.4.0, 11.1.1.5.0
* Oracle Application Server 10g Release 3, versión 10.1.3.5.0
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0
* Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.1, 11.1.1.3
* Oracle Identity Management 10g, versiones 10.1.4.0.1, 10.1.4.3
* Oracle JRockit, versiones R27.6.9 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.1.3 y anteriores (JDK/JRE 5, 6)
* Oracle Outside In Technology, versiones 8.3.2.0, 8.3.5.0
* Oracle Enterprise Manager 10g Grid Control Release 1, versión 10.1.0.6
* Oracle Enterprise Manager 10g Grid Control Release 2, versión 10.2.0.5
* Oracle Enterprise Manager 11g Grid Control Release 1, versión 11.1.0.1
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Agile Technology Platform, versiones 9.3.0.3, 9.3.1.1
* Oracle PeopleSoft Enterprise FIN, versión 9.0, 9.1
* Oracle PeopleSoft Enterprise FMS, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise FSCM, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise SCM, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise PeopleTools, versiones 8.49, 8.50, 8.51
* Oracle Sun Product Suite

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

* 16 nuevas vulnerabilidades corregidas en Oracle Database. Cinco de los problemas corregidos son explotables remotamente sin autenticación.

* En Oracle Secure Backup aparecen tres parches, todo ellos podrían permitir explotar el sistema atacado sin autenticación alguna.

* Otras siete vulnerabilidades afectan a Oracle Fusion Middleware. Dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes de Oracle Fusion Middleware products incluyen Oracle Database, por lo que también se ven afectados por las vulnerabilidades aparecidas en esta último producto.

* 18 parches afectan a Oracle Enterprise Manager Grid Control. En esta ocasión, 14 de estos parches solucionan vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar. En este caso también, el componente incluye Oracle Database y Oracle Fusion Middleware, y por lo tanto, las vulnerabilidades de ambos.

* 14 nuevas vulnerabilidades afectan a Oracle Applications divididas en: una en Oracle E-Business Suite, otra en Oracle Supply Chain Products Suite y 12 en Oracle PeopleSoft Products.

* 23 parches afectan a la suite de productos Oracle Sun. Nueve de estas nuevas vulnerabilidades permitían comprometer los sistemas no parcheados sin necesidad de autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory – July 2011
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html

Categorías:Seguridad de Sistemas

Ojo con el WiFi Público

diciembre 14, 2010 Deja un comentario

Epoca navideña, epoca de viajes….

La tentación de conectarte a puntos publicos WiFi en aeropuertos y cafeterias esta en el aire.  Es ahora cuando debes hacer una pausa y verificar que, si usas Windows XP, tener el 100% de las actualizaciones de seguridad instaladas.

http://blogs.msdn.com/b/securitytipstalk/archive/2010/12/10/going-online-at-the-airport-avoid-free-public-wifi-rogue.aspx

Buen viaje!

ACS

WikiLeaks y la angustia en los profesionales en seguridad

diciembre 6, 2010 Deja un comentario

Wikileaks sigue posteando cables clasificados del Departamento de Estado de los EEUU, si añades a esto la revelación de que pronto también publicará documentos sensibles de uno de los más grandes bancos de los EEUU entenderás porque ha despertado serias preocupaciones entre gobiernos y empresas del mundo.
Si bien es cierto que WikiLeaks no ha revelado cómo se obtuvieron decenas de miles de cables del Departamento de Estado o los documentos del banco, el principal sospechoso es un oficial de bajo rango de inteligencia del ejército americano llamado Bradley Manning.
En una reciente entrevista con el ex-hacker, Adrian Lamo, Manning se jacta del acceso, de hasta 14 horas continuas a las redes que contienen información clasificada.
Manning dice que tuvo acceso de nivel Top Secret a SIPRNET, una red usada por el Departamento de Defensa y por el Departamento de Estado, así como al sistema de comunicación usado por las dos agencias para mover información secreta o sensitiva.
La facilidad que tuvo Manning para lograr uno de los mas grandes robos de información de la historia, indica serios problemas de seguridad así como sistemas pobremente diseñados para mantener y controlar la información. Por otro lado, la cantidad y tipo de información a la que Manning accedió muestra que el acceso a la información altamente clasificada no era controlado bajo el principio de que un empleado debe tener acceso únicamente a lo estrictamente necesario para realizar su trabajo.
Para gerentes y dueños de negocios, que trabajan con información sensible, como bancos o instituciones de defensa, el incidente Wikileaks descubre la importancia de adoptar una política de seguridad de la información conocida como “confiar pero verificar “.
Ojo que esto no significa que Ud. necesita ser paranoico o desconfiar de sus empleados, simplemente se refiere a un proceso de confianza y verificación, donde además es importante que ellos sepan que se verifica.
El proceso incluye la segmentación y restricción de acceso a la información basada en roles. Todos los accesos a la información así como los intentos de acceso deben ser almacenados constantemente (usualmente como logs) y verificados periódicamente.
Una empresa seria, al menos una vez al año, realizará la verificación del historial crediticio así como de los antecedentes de todos sus empleados, con el objetivo de identificar posibles futuros problemas.
Políticas claras, sistemas auditables y controles reales de la gerencia son necesarios para asegurarse que lo que deseamos sea confidencial se mantenga confidencial.
La amenaza de fuga de información por personal de las instituciones, sean éstos públicas o privadas, ha sido una preocupación para los profesionales de seguridad desde hace mucho tiempo. Numerosos estudios han mostrado que el mayor riesgo para información sensible viene de empleados negligentes o maliciosos, y no así de hackers externos.
Dispositivos de almacenamiento diminutos tales como los USB ha logrado que el problema crezca exponencialmente. De hecho, en nuestro caso , Manning habría bajado los documentos del Departamento de Estado en USB así como en CDs, fáciles de transportar y que no atraen mayor atención.
Responder a las preguntas: Que información sensible tengo en mis sistemas? Quienes tienen acceso a ella? Que pueden hacer con esa información? puede evitarle serios problemas.

Fuga de informacion. El caso Wikileaks!

noviembre 30, 2010 Deja un comentario

Como salio la informacion clasificada como secreta?

Categorías:Uncategorized Etiquetas: ,

Auditoría de proyectos de tecnología. Parte 7. Medición de Resultados.

octubre 20, 2010 1 comentario

Objetivo.

El objetivo en esta parte es buscar anomalías en la forma en la que el equipo del proyecto mide el logro de resultados en cuanto a aceptación de entregables y otros aplicado al proyecto. Te recomiendo buscar la falta de procesos de aprobación.

Detalle.

  1. Determinar si existio  aprobación del usuario a los resultados de las pruebas finales.
    1. Se han establecido estándares para la aceptación de las pruebas finales? Es decir, los usuarios tienen claramente definido que es lo aceptable y que no?
    2. El área de usuarios y su gerencia han revisado el desempeño del sistema y aprobado los resultados?
    3. El área de usuarios ha identificado alguna ineficiencia en el sistema?
    4. Puede este ineficiencia ser corregida? Si es así; será corregida antes de la implementación del sistema?
  2. Revisar los resultados de las pruebas finales y determinar si existen resultados no esperados. Te recuerdo que en el anterior punto, ya revisamos que exista documentación adecuada al respecto.
    1. Determinar si los resultados no esperados de las pruebas han sido adecuadamente evaluados para determinar las razones de las variaciones.
  3. Determinar si existe o existió un adecuado seguimiento a los resultados no esperados.
    1. Se realizaron las correcciones?
    2. Se realizaron nuevas pruebas después de las correcciones?
  4. Has una revisión minuciosa de esos resultados no esperados e identifica aquellos que puedas considerar críticos, trabaja sobre estos en detalle y asegúrate que la entidad los haya resuelto adecuadamente y en su totalidad.

Como te darás cuenta conceptualmente esta parte es muy breve, sin embargo es muy importante, y los resultados de ella son de gran valor en la presentación del reporte de auditoría. La gerencia de la entidad te lo agradecerá.

Comentanos cómo te fue, te recuerdo que esta guía no es la Biblia, y puede ser mejorada con la ayuda de tu profesionalismo.

Saludos,

Álvaro Cuadros

Como reducir los asaltos express y vivir más seguro.

octubre 12, 2010 Deja un comentario

Los asaltos mediante secuestros express al igual que cualquier delito dependen exclusivamente del factor costo – beneficio para el perpetrador , es decir, la percepción de costo (en este caso riesgo) que tiene el asaltante respecto al beneficio que obtiene al cometer el delito.

En Bolivia, por diferentes factores ajenos a nuestro objetivo en la columna, el riesgo de ser apresado y sentenciado es menor comparativamente al “beneficio” (Cantidad de dinero) que se obtiene en un asalto de este tipo.

Si bien la recomendación de la policía de no portar tarjetas de débito reduce la cantidad de dinero que se puede obtener con un asalto, no es de ninguna manera una solución práctica para los clientes pues el uso de cajeros automáticos y puntos de venta se hace cada vez más necesario.

La solución real está en los límites que todo usuario puede poner al retiro máximo por día de un cajero automático. Tú puedes hacerlo, y todos los bancos en Bolivia te brindan la posibilidad de reducir este límite de retiro máximo diario a uno que se adecue a tus necesidades mínimas. De esta manera habrá reducido el factor “beneficio” (el tamaño del botín) de la ecuación y los asaltos de este tipo se verán mermados, y por consiguiente tu propia seguridad mejorará drásticamente.

ACS

(Articulo publicado en el Periodico ZonaSur, 1 Octubre, 2010)