Vulnerabilidades no intencionales: el factor humano

--Originally published at Intervention IT

Como vimos en el post de ingeniería social, las personas pueden llegar a ser uno de los principales problemas a la hora de mantener la seguridad de un sistema. En el caso de la ingeniería social por la ignorancia que a veces pueden tener y ser explotada de una manera más eficaz que cualquier problema técnico por los atacantes.

 

Durante este post no hablaré sobre esta parte, sino sobre como también un descuido puede ser un gran problema debido al factor de ser humanos.

 

Todos los humanos cometemos errores y eso es una verdad que no puede ser negada. Pero si es necesario el aprender a cometer los menos posibles puesto que pueden llevar a consecuencias muy grandes.

 

Puede que piensen que esto no es un tema importante para la seguridad en el área de las tecnologías, peor no es así. Algunos ejemplos de descuido de las personas que pueden convertirse en amenazas son:

  • El mal diseño de las tecnologí Al realizar tecnologías sin tener en cuenta las necesidades del resultado o no cumplen con el objetivo. Imaginemos de nuevo el caso de la persona que al realizar un formulario envía la contraseña del cliente en la url para ser utilizada por la siguiente vista. Este es un ejemplo de un mal diseño al no asegurar la confidencialidad de la información.
  • Mal uso: El no ser capaces de utilizar los controles de seguridad o simplemente el no querer hacerlo puede llevar a la información a ser comprometida. Un ejemplo es el siempre tener la misma contraseña en todas las cuentas que se manejan. Si bien no es completamente una vulnerabilidad, implica que si un atacante descubre la información una vez tendrá acceso a todo lo demás convirtiéndose en algo realmente complicado.

 

Si bien estos son problemas

Continue reading "Vulnerabilidades no intencionales: el factor humano"

About Social Engineering

--Originally published at Intervention IT

We can implement diferent things, processes or systems to protect a network; but it cannot ensure the safety from the users.

People are important in the organizations and systems they are the weakes link. Social engineering is a con game, scam. It means people can attempt to defraud a person or group using their confidence to obtain information of a system or organization.

Social engineers can include hackers, scam artists, salespeople, ordinary people.

It can be implemented using telephone, online, even trash diving and simple persuasion.

Examples are the dumpster diving (look at the thrash of someone to recollect information).

Shoulder surfing that is the act to walk behind someone and look at their info.

Phishing is an attempt to get a user to reveal information. Often implemented trough email or instant messaging.

Spearphishing is target to specific individuals with usually better results. Is difficult to protect against.

 

Attack Surface:

Known, unknown, or potential vulnerabilities across Software, Hardware, network and users.

An attack is anything that can compromise the security of the data.

Passive: Non invasive, like monitoring transmissions.

Active: Attacker tries to break in securing systems to steal, modify or introduce information.

 

Software vulnerabilities are common, they usually are glitch or flaws. In order to reduce them you an update the system with latest security patch or to control the software to be installed can reduce the surface.

Hardware attack surface: Physical access is required, but it can be executed via network.


DDoS overview

--Originally published at Intervention IT

DoS is an attempt to make a server unavailable to users.

Performed by overloading a server with requests.

Include DNS and routing disruption.

Includes using up disk space, processor power or bandwidth.

Includes anything that allows a website to not be able to be displayed.

 

 

Distributed network denial of service.

Cheap to launch and difficult to prevent.

Performed by person or group with a grudge.

Used as distraction from other hacking attempts.

 

 

Protection:

Firewalls: Rules used to prevent traffic from the web.

Switches y routers can also have Access control lists and rate limiting.

Load management hardware/software: Make sure there exists request balancing between servers.

Use of proxies.

 

Good quality server and hosting add more resistance to attacks.

Make a reaction plan before an attack.

 

 

While in attack:

Change ip to obtain some time.

Make traffic = null.

Be a good person.


Wireless Security

--Originally published at Intervention IT

Since the wireless option became popular, the security needs have changed.

 

Service side identification (SSID) is the network name that the access point broadcasts.

This SSID is usually set by the vendor, and usually shows names like Linksys, Nexus, or other. It only says what the wireless access adapter is.

 

We want to implement security using:

  • WEP (Wired Equivalent Privacy) Even when using RC4 cipher, it can be easily  cracked.
  • WPA (Wi-Fi Protected Access) is stronger than wep and uses temporal key integrity protocol (TKIP) became insecure and obsolete in 2012.
  • WPA2 Uses advanced encryption standard.

 

Wi-Fi Authentication:

Open: Anyone can connect.

Personal: Based on pre-shared key.

Enterprise: Extensible Authentication Protocol (EAP), Username/ Pass, smart card, tokens.

 

Others:

MAC Address filter.

DHCP to authenticate first.

Firmware.

Configuration Password in the ap.

Unauthorized access point.


Seguridad en la red

--Originally published at Intervention IT

La seguridad de la red se refiere a manejar el acceso a la red, tomando como objetivo el detectar amenazas y deteniéndolas de perjudicar tu dominio.

 

En esta área de la seguridad se deben tener en cuenta las siguientes características:

Control de acceso: Característica de evitar que cualquiera entre a la red.

Control de uso: Característica de evitar un uso inadecuado de la red.

Control de ataque: Característica de contener los ataques y detectarlos en la red.

 

Algunos elementos de los sistemas de información actuales son generados con el único propósito de generar una de las características de arriba, como lo son los Antivirus que evitan el uso indebido de la red y la detección de estos, los firewall que monitorean aquellos paquetes que salen hacia el internet, la doble seguridad como el sistema de doble verificación, entre otros.

 

Pero no solo se crearon programas para asegurar estas características, sino también procesos y metodologías como lo son los análisis de comportamiento en redes (para detectar anomalías) o los frameworks de evaluación de riesgos.

 

Para poder implementar una seguridad de red eficiente y completa se necesita mantener no solo un tipo de protección contra amenazas, sino que se debe mantener actualizado. Esto puede resultar difícil en los casos de incompatibilidades con los sistemas; pero existen métodos para poder asegurarse de lo anterior como la capacitación constante o la contratación de servicios de terceros para asesoría.

 

Esta necesidad de seguridad constante en la red, también ocasionó la aparición de muchas tecnologías adaptadas a los elementos que le componen y por ende ahora podemos encontrar herramientas diseñadas en todos los niveles de conexión de la red como lo son las listas de acceso en los enrutadores o la incorporación de SSIDs invisibles en los módem.

 

+Info

http://www.

Continue reading "Seguridad en la red"

Malwares

--Originally published at Intervention IT

Cualquier componente digital o software que funcionará de manera que realizará daño o capturará propiedad intelectual del usuario o compañía usando la información accesible de o guardada en el sistema.

 

Peligros:

Virus*: Utiliza los recursos de su receptor para generar copias de si mismo.

Worm*: Pasar a través de un sistema, comiendo los recursos del sistema y pasando a otro sistema.

*Ambos pueden estar en la sección de Booteo, programas (digital signed), macro, worm.

Trojan o rogue anti-viruses: Componentes que se insertan en código bueno, de manera que cuando se ejecuta el virus empieza a dañar. El rogue anti virus identifica problemas y si los dejas escanear en realidad quitan el anti virus.

Spyware: Código que no es siempre malicioso en su intención pero si en su resultado.

Key logger: Capturadores de contraseñas a partir de patrones.

Adware: Mira los patrones de tu buscador y atrae conexiones a tu computadora a través de publicidad. Bots: Usualmente abriendo puertas traseras que pueden llegar a ser usadas en un futuro.

Greyware: Software que es ofrecido pero empiezan a agregar funcionalidades que son intrusivas y abren conexiones.

Rootkits: Sistemas que intentan remplazar componentes de administrador en el sistema operativo.

Phishing: Intento de obtener información sobre ti basado en falsos hechos o contenido.

Spam: Solicitación no querida de mensajes, texto o llamadas a malwares.

 

Síntomas de malware:

Perdida de rendimiento general.

Perdida de información, captura o corrupción.

Servicios, procesos o mensajes adicionales.

Comunicaciones ocultas.

Comportamiento alterado.

 

Prevención:

Anti virus con actualizaciones

Anti spyware

Monitoreo de boletines

Uso del menor privilegio

Control de cuentas de usuario

Deshabilitar descargas y adjuntos.

Control de instalación.

Respaldos y Puntos de restauración.

 

Detección:

Remover el sistema de la red.

Buscar síntomas – Automaticos, on-access scan, manual scans.

Modo Seguro

Recobrar ambiente – Remover, reparar, cuarentena.


Autentificación y Control de Acceso

--Originally published at Intervention IT

Una de las necesidades básicas de todo ingeniero en seguridad es el de tener un control y asegurarse de que solo aquellos con privilegios puedan acceder a la información, el sistema o la red bajo nuestra jurisdicción.

 

Los tres pasos para el proceso de control de acceso son:

  • Identificación – El usuario dice su identidad, mas no hay manera de saber si es falso o verdadero (username).
  • Autentificación – El usuario prueba su identidad, pero no es suficiente para acceder (password).
  • Autorización – El sistema ahora debe aprobar que se tienen los privilegios para acceder (access lists).

 

Identificación:

Los sistemas deben tener manera de identificarse de manera única en el sistema. Estos no necesitan ser privados. Estos mecanismos solo necesitan proveer la característica de ser únicos.

Biometrics: Mecanismo para identificar y autenticar por medio de características físicas. Debido a las características del cuerpo humano, son indicadores efectivos para la seguridad, ejemplo de estos son el uso de escáner de ojo o de dedo. También reconocimiento de voz y reconocimiento de cara.

 

Autentificación:

Para poder probar la propia identidad se pueden usar diferentes condiciones:

-Algo que conoces: La manera más común es dar información sobre algo que conoces, en este caso las contraseñas. La manera más fácil de tener una contraseña segura es una frase contraseña.

-Algo que eres: El uso de Biometrics.

-Algo que tienes: Requiere de la poseción de algun dispositivo físico.

-Algún lugar donde estas: Depende de la posición del usuario.

-Algo que haces: Requiere realizar una acción y utilizar información para                determinar la  identidad. Ejemplo es la velocidad o ritmo en que se realiza la acción.

 

Algunas personas solo aceptan como condiciones de autentificación las tres primeras.

 

Identificación multifactorial:

-Debido a las desventajas de cada condición, se creó el realizar una

Continue reading "Autentificación y Control de Acceso"

Políticas de Seguridad

--Originally published at Intervention IT

Documento que dicta como la compañía planea proteger los bienes tecnológicos, tanto físicos como la información.

Es considerado un documento viviente debido a que está en constante actualización dependiendo del cambio de la tecnología y requerimientos de los empleados.

 

Incluye una aceptación del uso de la información, descripción de planes de educación de los empleados en el uso de los recursos, descripción de medidas de seguridad usadas, y manera de evaluar esta seguridad.

 

Si bien son un requisito que tiene una base mayormente legal, en este se pueden encontrar de manera explícita la mayoría de las situaciones a las que una organización podría enfrentarse en caso de conflictos con el estado de sus bienes. El leer algún documento de este tipo hace un mayor bien que mal al mostrar un ejemplo práctico de medidas actuales en la industria para de la implementación de seguridad.

 

Ejemplos de políticas utilizadas son:

  • Password Policy: Define las características de las contraseñas.
  • Acceso a la red: Cantidad de errores o conexiones fallidas aceptadas.
  • Acceso remoto: Define la aceptación y requisitos para el acceso remoto a la información.
  • Conexión a internet: Define como se podrá el usuario conectar al internet y las capacidades y restricciones que tiene en el acceso a la web.
  • Aplicaciones aprobadas: Define el tipo y cuales o cuantas aplicaciones se encuentran aprobadas para su uso en las máquinas de la empresa.
  • etc…

 

+Info

http://www.comptechdoc.org/independent/security/policies/security-policies.html

http://searchsecurity.techtarget.com/definition/security-policy


+ riesgos, un poco sobre metodologías.

--Originally published at Intervention IT

Como algunos de ustedes sabrán por mi blog con mi compañera Audray sobre las vulnerabilidades y el propósito de los frameworks, la evaluación de riesgos no es posible de realizar por una sola persona en la organización ni un proceso corto.

 

Es por esto que para poder llevar a cabo este proceso de manera rápida y sobretodo exitosa, se crearon las metodologías para poder evaluar los riesgos.

 

Estas metodologías incluyen lo que es:

  • El proceso de evaluación de riesgos a utilizar. Para poder conseguir la información necesaria a analizarse.
  • Un modelo de riesgos explicito, definiendo los términos, factores ha evaluar y las relaciones de estos. No se puede tener una metodología sin saber concretamente lo que se hará. Aquellos que implementan la metodología deben tener en claro las cosas a realizar para poder completar con éxito la evaluación a partir del método; o puede correrse el riesgo de que sea invalidado el esfuerzo.
  • La perspectiva de la evaluación, especificando el rango y como se identifican las combinaciones de los factores. Esta parte de la metodología ayuda a reducir el trabajo y limitarlo puesto que no será necesario el buscar por completo todas las combinaciones de los factores a evaluar. Esto es importante puesto que puede llegar a existir un momento en el que los riesgos tengan un impacto demasiado pequeño y sea mejor empezar a poner en marcha la metodología en vez de volverla perfecta.
  • La aproximación a usar en el análisis (enfocada a vulnerabilidades, al impacto, etc…). Esto ayuda a mantener una jerarquía y enfocar los esfuerzos aún más en aquellos riesgos que son considerados por la organización los más importantes.

 

Toda esta información no es al azar, debe ser determinada por la situación de cada organización y la estrategia utilizada por esta.

Y lo mejor

Continue reading "+ riesgos, un poco sobre metodologías."

Sobre certificaciones, Porqué?

--Originally published at Intervention IT

Debido a las áreas de uso de la computación y sus servicios cada vez más presentes en diferentes áreas del mundo globalizado, la seguridad se ha vuelto un tema importante y cada vez más demandante.

Esta globalización ha ocasionado el surgimiento de diferentes puestos de trabajo y la constante necesidad de estos de actualizarse.

Para las empresas esto representa una desventaja al contratar trabajadores; puesto que no se puede garantizar con solo palabra o vista la experiencia y conocimiento de alguien.

Es ahí cuando las certificaciones empiezan a ganar terreno. Las certificaciones no son más que una garantía expedida por una organización para ayudar a reconocer los conocimientos de aquellos que la organización acepta como competentes.

 

Para poder lograr esto, se crea una serie de evaluaciones que deben ser completadas por los partícipes y en caso de pasarse obtener el certificado.

 

Ahora bien, otro problema para las empresas es: Saber cuáles organizaciones son de confiar y cuáles son las mejores en su área. De la misma manera que una certificación de la escuela patito en gastronomía no le sirve a una empresa que busque a un veterinario para cirugías de alto riesgo en animales, no todas las certificaciones ayudan a encontrar empleo en el mar de posibles campos de acción de la computación.

 

Si bien existen una enorme cantidad de certificaciones por área, me gustaría hablarles sobre una certificación en especial. El OSCP (certificado profesional de seguridad ofensiva por sus siglas en inglés), el cual es uno de los certificados más reconocidos en el área de la penetración de sistemas informáticos.

Este examen tiene la característica de ser práctico y mundialmente reconocido por el método de avaluación utilizado.

Sin duda una gran opción a revisar si se desea entrar en esta área.

 

+Info: