Archivo

Archive for the ‘Seguridad de Sistemas’ Category

Ethical Hacking , Analisis de Vulnerabilidades, pruebas de penetracion?

agosto 2, 2011 Deja un comentario

La tarea más importante como profesionales de seguridad dentro de nuestra organización es proteger y asegurar la información de manera efectiva. Existen muchos factores y tareas específicas pero básicamente la premisa es esa. Una vez que logramos tener un nivel aceptable de seguridad, esto es siguiendo un marco de referencia o estándar internacional, contar con políticas y procesos claros, responsabilidades asignadas e identificadas, entre otros, se debe evaluar el punto de vista de un atacante.

Una prueba de penetración o pentest simula los pasos a seguir para tomar control de los activos críticos de nuestra organización. Esto puede tener diferentes perspectivas, ya que muchas veces, dicho atacante puede ser un trabajador interno, un competidor, un externo con motivaciones sociales y políticas o parte de un grupo del crimen organizado.

De acuerdo con cifras del “2010 Data Breach Investigations Report,” que toma en cuenta más de 900 fugas de información y 900 millones de registros personales comprometidos realizado por Verizon y el Servicio Secreto de Estados Unidos, encontró que 69% de los incidentes estaban ligados a elementos externos, mientras que el resto, 49%, a personal dentro de la organización.

Hace 10 años, los análisis de vulnerabilidades se realizaban de manera mucho más directa. Inicialmente se detectaba un error de configuración o falla en aplicaciones y sistemas operativos. Posteriormente se atacaba con códigos y programas típicamente obtenidos de manera gratuita. Una vez que se lograba el acceso al equipo y de ahí a la red interna, se copiaban archivos y se dejaban algunas pruebas, como evidencia. Este era un proceso eficiente, ya que la mayoría de las ocasiones las herramientas correctas hacían el trabajo.

Las organizaciones en la actualidad tienen tecnología como detectores de intrusos, antivirus, firewalls, encripción y protocolos más seguros, por tanto los criminales han buscado nuevos vectores de ataque que les permiten atacar a grandes organizaciones identificando sus puntos débiles. Es importante desarrollar cualidades y capacidades en las personas encargadas de la administración de redes, programadores y usuarios finales de todos niveles.

A continuación algunos de los puntos clave para realizar una prueba de penetración en nuestra organización:

  • Identificar activos: Listar cada una de los valores del negocio, estos incluyen el capital humano, equipos, aplicaciones, documentación, entre muchos otros activos que se deben conocer y analizar de manera objetiva.
  • Asignar valores: ¿Cómo cumple su misión la organización? La organización debe ser consciente de la importancia de cada una de las piezas y analizar algunos casos extremos donde se deba prescindir de ciertas capacidades.
  • Administrar riesgos: ¿Existe manejo y administración de riesgos?, ¿Se encuentran los controles para mitigar riesgos?, ¿Qué es lo peor que puede pasar? Conocer las amenazas reales del negocio.
  • Entrevistar al personal: ¿Cuentan con capacitación para realizar sus funciones?, ¿Cuál es su nivel de conocimiento acerca de las políticas y reglas de la organización?, ¿Conoce cuáles son los riesgos del negocio? Es importante evaluar su desempeño, actitud hacia el trabajo y objetivos a corto y largo plazo.
  • Mejora continua: Se debe tener un proceso continuo de evaluaciones, donde se tenga un ciclo de planeación, implementación y revisión de resultados que permita ajustar los objetivos de tecnología con los del negocio.

 

Ataca con todo tus propios sistemas!!!!

 

Parches Críticos de julio para múltiples productos Oracle

agosto 1, 2011 Deja un comentario

Como viene siendo habitual, cada 3 meses Oracle emite su Critical Patch Update con la corrección de diversas vulnerabilidades que afectan a sus productos. En esta ocasión, se solventan 78 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometerseriamente la seguridad de los sistemas y servicios afectados.

Los fallos se dan en varios componentes de los productos:

* Oracle Database 11g Release 2, versiones 11.2.0.1, 11.2.0.2
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
* Oracle Database 10g Release 1, versión 10.1.0.5
* Oracle Secure Backup, versión 10.3.0.3
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0,
11.1.1.4.0, 11.1.1.5.0
* Oracle Application Server 10g Release 3, versión 10.1.3.5.0
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0
* Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.1, 11.1.1.3
* Oracle Identity Management 10g, versiones 10.1.4.0.1, 10.1.4.3
* Oracle JRockit, versiones R27.6.9 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.1.3 y anteriores (JDK/JRE 5, 6)
* Oracle Outside In Technology, versiones 8.3.2.0, 8.3.5.0
* Oracle Enterprise Manager 10g Grid Control Release 1, versión 10.1.0.6
* Oracle Enterprise Manager 10g Grid Control Release 2, versión 10.2.0.5
* Oracle Enterprise Manager 11g Grid Control Release 1, versión 11.1.0.1
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Agile Technology Platform, versiones 9.3.0.3, 9.3.1.1
* Oracle PeopleSoft Enterprise FIN, versión 9.0, 9.1
* Oracle PeopleSoft Enterprise FMS, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise FSCM, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise SCM, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise PeopleTools, versiones 8.49, 8.50, 8.51
* Oracle Sun Product Suite

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

* 16 nuevas vulnerabilidades corregidas en Oracle Database. Cinco de los problemas corregidos son explotables remotamente sin autenticación.

* En Oracle Secure Backup aparecen tres parches, todo ellos podrían permitir explotar el sistema atacado sin autenticación alguna.

* Otras siete vulnerabilidades afectan a Oracle Fusion Middleware. Dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes de Oracle Fusion Middleware products incluyen Oracle Database, por lo que también se ven afectados por las vulnerabilidades aparecidas en esta último producto.

* 18 parches afectan a Oracle Enterprise Manager Grid Control. En esta ocasión, 14 de estos parches solucionan vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar. En este caso también, el componente incluye Oracle Database y Oracle Fusion Middleware, y por lo tanto, las vulnerabilidades de ambos.

* 14 nuevas vulnerabilidades afectan a Oracle Applications divididas en: una en Oracle E-Business Suite, otra en Oracle Supply Chain Products Suite y 12 en Oracle PeopleSoft Products.

* 23 parches afectan a la suite de productos Oracle Sun. Nueve de estas nuevas vulnerabilidades permitían comprometer los sistemas no parcheados sin necesidad de autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory – July 2011
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html

Categorías:Seguridad de Sistemas

Ojo con el WiFi Público

diciembre 14, 2010 Deja un comentario

Epoca navideña, epoca de viajes….

La tentación de conectarte a puntos publicos WiFi en aeropuertos y cafeterias esta en el aire.  Es ahora cuando debes hacer una pausa y verificar que, si usas Windows XP, tener el 100% de las actualizaciones de seguridad instaladas.

http://blogs.msdn.com/b/securitytipstalk/archive/2010/12/10/going-online-at-the-airport-avoid-free-public-wifi-rogue.aspx

Buen viaje!

ACS

El primer “virus” diseñado para destruir físicamente una planta nuclear

octubre 4, 2010 Deja un comentario

Expertos en seguridad han identificado la primera súper arma cibernética diseñada específicamente para destruir un y objetivo del mundo real, una fábrica, refinería planta nuclear.
El gusano cibernético llamado Stuxnet, es algo completamente nuevo dentro del mundo de la guerra cibernética pues ha sido creado específicamente para destruir algo físico. La aparición de Stuxnet ha causado altísimo revuelo en la comunidad de seguridad de sistemas pues es extremadamente complejo y utiliza solamente el acceso por lo que conocemos como memoria flash, para instalarse y tomar control de sistemas de control industrial.
A la fecha, y en menos de tres meses el virus ha infectado al menos 45,000 sistemas de control industrial en todo el mundo, siendo los principales afectados centrales de distribución de energía.
En estos días la noticia se torna aún más alarmante dado que expertos en seguridad confirman que el virus es esencialmente un misil cibernético de altísima precisión de búsqueda y destrucción de un objetivo del mundo real . El objetivo todavía es desconocido, sin embargo ya existen varias teorías respecto a que este sería la nueva planta nuclear de Irán llamada Bushehr.

Te espian a traves de tu celular

septiembre 30, 2010 Deja un comentario

Así es, tú puedes estar entre las ya muchas personas que tienen instalado un software espía en celulares tipo Smartphone (BlackBerry, Android, IPhone, WM, Symbian), pues se encuentran disponibles, piezas de software que al ser instalados en estos dispositivos pueden:
Registrar cada mensaje, incluido contenido, tipo SMS enviado o recibido, el 100% de las llamadas salientes y entrantes, los sitios web que visitaste desde tu teléfono. Y si lo tienes habilitado también puede informar de tu posición geográfica en todo momento.
Luego de que el software está instalado en el celular a espiar este grabará todas las actividades arriba citadas y luego enviará esta información de forma totalmente silenciosa a un sitio de Internet donde la persona que configuró el software podrá ver todos los detalles luego de colocar su usuario y password.
Si bien este software ha sido creado con la finalidad de controlar y evitar la fuga de información de empresas, está siendo utilizado ampliamente para fines menos “de negocio” pues tiene bastante éxito entre quienes espían a su conyugue o quienes quieren asegurarse que sus hijos solo usan el teléfono en horarios y para fines permitidos.
Como puedes evitar ser espiado con este software? y, tal vez aún más importante, como darte cuenta si ya lo eres? . Lo veremos en nuestra siguiente columna

Alvaro Cuadros

FTP???

julio 26, 2008 Deja un comentario

Aun me sorprende ver que en algunas empresas se siga utilizando el protoclo FTP en vez de reemplazarlo por SFTP, el uso de el primero muestra una inmadurez absoluta de temas de seguridad en las areas de Tecnología.

Una buena pista para los auditores de sistemas: Si encuentras sistemas que aun usan el protocolo de transferencia de archivos FTP, empieza a cavar profundo, pues es seguro que te encontraras con vulnerabilidades muchisimo mas serias en el fondo.

-A

Categorías:Seguridad de Sistemas

Auditoria de Bases de Datos Relacionales – Parte 1

noviembre 20, 2007 5 comentarios

Donde estan las “joyas de la corona” de la empresa? Estamos de acuerdo que en las Bases de Datos, es por eso que todo auditor de sistemas asi como profesional de seguridad está interesado en la implementación de una buena auditoria a nivel bases de datos, sin embargo, los problemas con los que se tropiezan el camino son comunes para todos nosotros. Basicamente estos estan referidos a:

1. Procesamiento. Toda activación de logs en las RDBMS implica uso de recursos del gestor mismo, asi como de capacidad de procesamiento del equipo mismo.

2. Almacenamiento. Toda activación de auditoria requerirá tambien la retención de la información capturada en un medio de almacenamiento , sea este magnetico u optico.

Por estas dos caracteristicas la resistencia de los administradores de Bases de Datos (DBAs) a la implementación de la auditoria es considerable. Y es que, al implementar la auditoria de esta manera (Directamente sobre la Base de Datos) afectamos tambien directamente el rendimiento de la DB misma. Y para que contratamos un DBA? Para mantener la base de datos en un rendimiento optimo SIEMPRE.

En la segunda parte veremos algunas opciones de implementación de auditoria que no enoje a nuestros amigos DBAs y nos permita un control lo suficientemente granular sobre cambios y consultas a la base de datos corporativa.

ALVARO CUADROS