Tag: Uncategorized

Autentificación y Control de Acceso

--Originally published at Intervention IT

Una de las necesidades básicas de todo ingeniero en seguridad es el de tener un control y asegurarse de que solo aquellos con privilegios puedan acceder a la información, el sistema o la red bajo nuestra jurisdicción.

 

Los tres pasos para el proceso de control de acceso son:

  • Identificación – El usuario dice su identidad, mas no hay manera de saber si es falso o verdadero (username).
  • Autentificación – El usuario prueba su identidad, pero no es suficiente para acceder (password).
  • Autorización – El sistema ahora debe aprobar que se tienen los privilegios para acceder (access lists).

 

Identificación:

Los sistemas deben tener manera de identificarse de manera única en el sistema. Estos no necesitan ser privados. Estos mecanismos solo necesitan proveer la característica de ser únicos.

Biometrics: Mecanismo para identificar y autenticar por medio de características físicas. Debido a las características del cuerpo humano, son indicadores efectivos para la seguridad, ejemplo de estos son el uso de escáner de ojo o de dedo. También reconocimiento de voz y reconocimiento de cara.

 

Autentificación:

Para poder probar la propia identidad se pueden usar diferentes condiciones:

-Algo que conoces: La manera más común es dar información sobre algo que conoces, en este caso las contraseñas. La manera más fácil de tener una contraseña segura es una frase contraseña.

-Algo que eres: El uso de Biometrics.

-Algo que tienes: Requiere de la poseción de algun dispositivo físico.

-Algún lugar donde estas: Depende de la posición del usuario.

-Algo que haces: Requiere realizar una acción y utilizar información para                determinar la  identidad. Ejemplo es la velocidad o ritmo en que se realiza la acción.

 

Algunas personas solo aceptan como condiciones de autentificación las tres primeras.

 

Identificación multifactorial:

-Debido a las desventajas de cada condición, se creó el realizar una

Continue reading "Autentificación y Control de Acceso"

Políticas de Seguridad

--Originally published at Intervention IT

Documento que dicta como la compañía planea proteger los bienes tecnológicos, tanto físicos como la información.

Es considerado un documento viviente debido a que está en constante actualización dependiendo del cambio de la tecnología y requerimientos de los empleados.

 

Incluye una aceptación del uso de la información, descripción de planes de educación de los empleados en el uso de los recursos, descripción de medidas de seguridad usadas, y manera de evaluar esta seguridad.

 

Si bien son un requisito que tiene una base mayormente legal, en este se pueden encontrar de manera explícita la mayoría de las situaciones a las que una organización podría enfrentarse en caso de conflictos con el estado de sus bienes. El leer algún documento de este tipo hace un mayor bien que mal al mostrar un ejemplo práctico de medidas actuales en la industria para de la implementación de seguridad.

 

Ejemplos de políticas utilizadas son:

  • Password Policy: Define las características de las contraseñas.
  • Acceso a la red: Cantidad de errores o conexiones fallidas aceptadas.
  • Acceso remoto: Define la aceptación y requisitos para el acceso remoto a la información.
  • Conexión a internet: Define como se podrá el usuario conectar al internet y las capacidades y restricciones que tiene en el acceso a la web.
  • Aplicaciones aprobadas: Define el tipo y cuales o cuantas aplicaciones se encuentran aprobadas para su uso en las máquinas de la empresa.
  • etc…

 

+Info

http://www.comptechdoc.org/independent/security/policies/security-policies.html

http://searchsecurity.techtarget.com/definition/security-policy


+ riesgos, un poco sobre metodologías.

--Originally published at Intervention IT

Como algunos de ustedes sabrán por mi blog con mi compañera Audray sobre las vulnerabilidades y el propósito de los frameworks, la evaluación de riesgos no es posible de realizar por una sola persona en la organización ni un proceso corto.

 

Es por esto que para poder llevar a cabo este proceso de manera rápida y sobretodo exitosa, se crearon las metodologías para poder evaluar los riesgos.

 

Estas metodologías incluyen lo que es:

  • El proceso de evaluación de riesgos a utilizar. Para poder conseguir la información necesaria a analizarse.
  • Un modelo de riesgos explicito, definiendo los términos, factores ha evaluar y las relaciones de estos. No se puede tener una metodología sin saber concretamente lo que se hará. Aquellos que implementan la metodología deben tener en claro las cosas a realizar para poder completar con éxito la evaluación a partir del método; o puede correrse el riesgo de que sea invalidado el esfuerzo.
  • La perspectiva de la evaluación, especificando el rango y como se identifican las combinaciones de los factores. Esta parte de la metodología ayuda a reducir el trabajo y limitarlo puesto que no será necesario el buscar por completo todas las combinaciones de los factores a evaluar. Esto es importante puesto que puede llegar a existir un momento en el que los riesgos tengan un impacto demasiado pequeño y sea mejor empezar a poner en marcha la metodología en vez de volverla perfecta.
  • La aproximación a usar en el análisis (enfocada a vulnerabilidades, al impacto, etc…). Esto ayuda a mantener una jerarquía y enfocar los esfuerzos aún más en aquellos riesgos que son considerados por la organización los más importantes.

 

Toda esta información no es al azar, debe ser determinada por la situación de cada organización y la estrategia utilizada por esta.

Y lo mejor

Continue reading "+ riesgos, un poco sobre metodologías."

Sobre certificaciones, Porqué?

--Originally published at Intervention IT

Debido a las áreas de uso de la computación y sus servicios cada vez más presentes en diferentes áreas del mundo globalizado, la seguridad se ha vuelto un tema importante y cada vez más demandante.

Esta globalización ha ocasionado el surgimiento de diferentes puestos de trabajo y la constante necesidad de estos de actualizarse.

Para las empresas esto representa una desventaja al contratar trabajadores; puesto que no se puede garantizar con solo palabra o vista la experiencia y conocimiento de alguien.

Es ahí cuando las certificaciones empiezan a ganar terreno. Las certificaciones no son más que una garantía expedida por una organización para ayudar a reconocer los conocimientos de aquellos que la organización acepta como competentes.

 

Para poder lograr esto, se crea una serie de evaluaciones que deben ser completadas por los partícipes y en caso de pasarse obtener el certificado.

 

Ahora bien, otro problema para las empresas es: Saber cuáles organizaciones son de confiar y cuáles son las mejores en su área. De la misma manera que una certificación de la escuela patito en gastronomía no le sirve a una empresa que busque a un veterinario para cirugías de alto riesgo en animales, no todas las certificaciones ayudan a encontrar empleo en el mar de posibles campos de acción de la computación.

 

Si bien existen una enorme cantidad de certificaciones por área, me gustaría hablarles sobre una certificación en especial. El OSCP (certificado profesional de seguridad ofensiva por sus siglas en inglés), el cual es uno de los certificados más reconocidos en el área de la penetración de sistemas informáticos.

Este examen tiene la característica de ser práctico y mundialmente reconocido por el método de avaluación utilizado.

Sin duda una gran opción a revisar si se desea entrar en esta área.

 

+Info:

Offensive Security Certified
Continue reading "Sobre certificaciones, Porqué?"

Encríptalo ahora no dejes pasar mas tiempo

--Originally published at CRACK THE NETWORK

El espionaje informático y el robo de datos corporativos son una realidad alarmante para cualquier negocio moderno. Las computadoras portátiles son robadas, las cuentas de almacenamiento en la nube se ponen en peligro, los empleados disgustados roban archivos vitales. Y con dispositivos modernos capaces de almacenar una gran cantidad de datos de misión crítica, la pérdida de una computadora portátil o teléfono puede tener implicaciones muy graves para cualquier negocio, perder secretos comerciales vitales como los diseños de un próximo producto, el código de una actualización de la aplicación.

Las directivas de contraseñas, el correo electrónico cifrado y firmado y los lugares de trabajo seguros son un buen comienzo para mantener seguros sus datos, pero para planear realmente en el peor de los casos, proceda con la idea de que perderá el dispositivo o incluso las contraseñas de una cuenta de almacenamiento. La mejor manera de hacer frente a esta eventualidad es implementar el cifrado en todos los dispositivos que utilice, desde cualquier PC de escritorio Windows XP que utilice hasta el nuevo Windows 8.1 Ultrabook al que está migrando su negocio, e incluso a los iPhones y Nexus 7.

La mayoría de los sistemas operativos modernos de telefonía y escritorio vienen con soporte incorporado para el cifrado por lo que es obligatorio encriptar todos los dispositivos de almacenamiento.

Recursos adicionales:

http://lifehacker.com/a-beginners-guide-to-encryption-what-it-is-and-how-to-1508196946

https://theintercept.com/2015/04/27/encrypting-laptop-like-mean/

 


Vulnerabilidad de evaluación de código remoto

--Originally published at CRACK THE NETWORK

 

La evaluación de código remoto es una vulnerabilidad que puede explotarse si el input del usuario se inyecta en un archivo o una cadena y se ejecuta mediante el parser del lenguaje de programación. Por lo general, este comportamiento no está previsto por el desarrollador de la aplicación web. Una Evaluación de Código Remoto puede llevar a un compromiso completo de la aplicación web vulnerable y también del servidor web. Es importante señalar que casi todos los lenguajes de programación tienen funciones de evaluación de código.

Una evaluación de código puede ocurrir si permite el input del usuario dentro de las funciones que están evaluando el código en el lenguaje de programación respectivo. Esto puede ser implementado a propósito, por ejemplo, para acceder a funciones matemáticas del lenguaje de programación para crear una calculadora, o accidentalmente porque no se espera la entrada controlada por el usuario del desarrollador dentro de esas funciones. Generalmente no se recomienda hacerlo. De hecho, se considera una mala práctica usar la evaluación de código.

Un atacante que es capaz de ejecutar tal falla suele ser capaz de ejecutar comandos con los privilegios del lenguaje de programación o el servidor web. En muchos lenguajes puede emitir comandos del sistema, escribir, borrar o leer archivos o conectarse a bases de datos.

Como regla general, debe evitar usar el input del usuario dentro del código evaluado. La mejor opción sería no utilizar funciones como eval en absoluto. Se considera que es una mala práctica y con frecuencia puede evitarse completamente. Tampoco debe permitir que un usuario modifique el contenido de los archivos que puedan ser analizados por los respectivos lenguajes. Eso incluye no permitir que un usuario decida el nombre y las extensiones de los archivos que él o ella podría cargar o crear en la aplicación

Continue reading "Vulnerabilidad de evaluación de código remoto"

DDoS viejo pero eficiente

--Originally published at CRACK THE NETWORK

La historia con respecto al ataque DDoS contra Dyn DNS sin duda me llamó la mucho la atención. Dyn DNS proporciona servicios gestionados por DNS para sus clientes. Nombres familiares como Twitter, Github, Airbnb y Reddit parecían haber sido afectados. Se podría llegar a la conclusión de que eran clientes de Dyn DNS.

DDoS no es una nueva forma de ataque en sí mismo. Pero los métodos y estrategias alrededor de DDoS continúan evolucionando en la forma de ataques más grandes y orquestados. A menudo, la medida del nivel de sofisticación de un ataque DDoS viene en forma de rendimiento medido. Los detalles del ataque aún no se conocen en este ataque en particular.

Lo que me hace detenerme y reflexionar más en lo que respecta a este ataque y otros similares, es que Dyn DNS es un proveedor de DNS SaaS. Su trabajo principal es alojar y administrar servicios DNS para sus clientes. El impacto y el daño tiene atribuido a los diversos servicios de clientes Dyn. A medida que los atacantes evalúan sus objetivos, y las organizaciones corren hacia la proverbial nube por varias razones, introduce objetivos interesantes para los hackers.

Entonces, ¿qué puede hacerse? En el caso de este ataque y DNS, tener un servicio DNS secundario operando al mismo tiempo puede haber mitigado el impacto, incluso cuando el proveedor principal se cae.

Recursos adicionales:

https://www.incapsula.com/ddos/ddos-attacks/denial-of-service.html

http://ddos.inforisktoday.com/ddos-attacks-c-350


Descubrir el nombre de un número desconocido

--Originally published at CRACK THE NETWORK

Hoy en día muchas bromas están pasando en el celular. La gente puede ser amigos, enemigos, parientes o cualquier cosa.

No sabemos quién nos está jugando una broma. En este post voy a explicar cómo averiguar el nombre de la persona que es nos llamó desde un número desconocido.

En realidad, es bastante sencillo para averiguar el nombre de la persona visita True caller:
https://www.truecaller.com/

True caller es una aplicación que nos ayuda a averiguar qué números se proporcionan en su directorio. Si instalas esta aplicación en tu móvil que tiene internet, entonces puedes encontrar fácilmente e; nombre de persona que nos marcó.

Todo lo que tenemos que hacer es ir al sitio web truecallers o tener la aplicación instalada. Introducir el número de la persona que nos marcó y conseguiremos el nombre de la persona de un número desconocido.

Recursos adicionales:

https://play.google.com/store/apps/details?id=com.truecaller&hl=en

https://itunes.apple.com/us/app/truecaller-spam-identification/id448142450?mt=8

 


Principios de una buena arquitectura de seguridad

--Originally published at CRACK THE NETWORK

En este blog describiré algunos principios de una buena arquitectura de seguridad. Es muy importante poner bastante atención en la arquitectura debido a que en esta parte las empresas pierdes millones debido a malas prácticas de diseño y seguridad, estas son algunas de las sugerencias:

Establecer objetivos claros y definidos: Un modelo es un medio para un fin, no un fin en sí mismo. Comience por definir por qué lo necesita y quién lo utilizará. Sólo entonces podrá determinar el alcance, el tamaño, el contenido y la presentación. Los conductores y los beneficios pueden variar ampliamente. Pueden ayudar a organizar el trabajo, estandarizar las actividades, demostrar el cumplimiento, actuar como un dispositivo de venta para un proveedor, o simplemente servir como un ejercicio terapéutico para el compilador.

Pequeño es hermoso: Lo que usted lo está utilizando para, el punto entero de usar un modelo es definir y comunicar un sistema de hechos seleccionados, relevantes a un grupo específico de usuarios. Los detalles innecesarios deben ser filtrados u ocultos a la vista del usuario. La información transmitida debe ser lo más breve y simple posible para cumplir con los objetivos del modelo.

Un tamaño no se ajusta a todos: la gestión de seguridad moderna requiere una gama de diferentes modelos, cada uno con un propósito diferente. Pueden utilizarse para comunicar o evaluar controles, responsabilidades, actividades, servicios, tareas del proyecto o especificaciones. Diferentes modelos pueden ser vinculados o combinados, pero el contenido no se correlaciona perfectamente. Un modelo diseñado para un propósito u audiencia particular podría no ser apropiado para otro, aunque siempre hay excepciones.

Llámelo como quiera: no importa mucho si usa el término “modelo”, “marco”, “arquitectura”, “método” o cualquier otra cosa, aunque algunos términos son más pegajosos que otros. La arquitectura, por ejemplo, suena grandiosa y sugiere un modelo para

Continue reading "Principios de una buena arquitectura de seguridad"

Problemas y soluciones del manejo de la información

--Originally published at CRACK THE NETWORK

Los colegios y universidades almacenan datos de empleo, registros financieros, transcripciones, historiales de crédito, historiales médicos, información de contacto, números de seguridad social, etc. Aunque las instituciones de educación superior deben ser foros donde la información y el conocimiento se intercambian fácilmente, a veces el libre flujo de información no es intencional. Aquí hay algunas políticas y comportamientos que ponen en riesgo la información personal:

Descentralización administrativa

Cultura ingenua de la oficina

Datos no protegidos

Servidores no regulados

Políticas de privacidad poco sofisticadas

Uso inapropiado del SSN

Discos duros no borrados

Soluciones

Examinar regularmente las redes institucionales para obtener información confidencial, como números de seguridad social, grados e información financiera.

Retirar automáticamente los datos viejos de los servidores institucionales.

Establecer una fecha radioactiva, que es cuando la institución utilizó por última vez números de seguridad social como identificador

Crear acceso basado en permisos a los sistemas centrales

Establecer una política de retención y acceso a datos.

Coordinar las prácticas de privacidad y seguridad con un comité especial de profesionales de la seguridad de la información.

Actualice su política de privacidad para reflejar todos los problemas de privacidad que surjan.

Eliminar los números de la seguridad social de los registros oficiales cuando sea posible.

Físicamente destruir todos los viejos discos duros.

 

Recursos adicionales:

https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-isms

http://www.isaca.org/JOURNAL/ARCHIVES/2010/VOLUME-2/Pages/Developing-an-Information-Security-and-Risk-Management-Strategy1.aspx