seguridad-informática

lunes, 30 de junio de 2014

La Justicia ordena el bloqueo de The Pirate Bay en la Argentina

La Comisión Nacional de Comunicaciones envió hoy una carta a los proveedores de Internet del país, ordenándoles bloquear el acceso al sitio The Pirate Bay en la Argentina. Este bloqueo no impide el acceso a otros sitios de su tipo, ni a los archivos torrent en general, sino sólo a la página Web de The Pirate Bay.

Seguir leyendo

#FreeThePirateBayArgentina

Saludos Informáticos.

lunes, 23 de junio de 2014

¿Cada cuánto tiempo se debe realizar un pentesting?

Los más experimentados en el mundo de la gestión de sistemas informáticos no publican un nuevo servicio en Internet sin pasar previamente una auditoría de seguridad. Los más inexpertos siguen haciéndolo, como se puede apreciar en casos como la web del Senado de los 500.000 € o el famoso sitio web de la presidencia europea de España en el año 2010. Tras esa primera auditoría, la pregunta que hay que responder es ¿cuándo se debe hacer la siguiente auditoría?

¿Por qué hacer una auditoría de seguridad informática?

Tal vez parezca una perogrullada esta pregunta, pero seguro que la has escuchado alguna vez si has presentado un presupuesto al comité de la empresa. Tal vez incluso te pregunten si no vale con la auditoría que se hizo la última vez o la que se hizo cuando se puso en producción el servicio:

“¿No hicimos una auditoría y nos dijeron que estaba con una seguridad aceptable?”

Los motivos por los que se hace una auditoría informática suelen ser varios, pero se pueden reducir a dos: Para cumplir con los procedimientos o para evitar fallos de seguridad.

Al lector no experimentado puede parecer que el primero implica al segundo, pero no es así. El primero implica cumplir las normas, y no tener un objetivo que persiga la seguridad del proceso. Para ello se buscan auditorías que se contratan a precio de saldo, con cientos de direcciones IP por jornadas, automatizadas al máximo y aprovechando hasta el último día para cumplir con los procedimientos.

Estas auditorías se pueden hacer por cualquier normativa interna de la empresa, pero generalmente suele ser por cumplir con alguna auditoría externa, tipo ISO 27.001 o PCI-DSS, y los plazos que se aplican tienden a ser, habitualmente, de seis meses a un año, quedándose fuera de la auditoría todo aquello que no se considera “core” dentro de la certificación.

Cuando se suele contratar una de estas auditorías se busca un informe, lo más gordo y rápido posible, que se adjuntará a la documentación del servicio y que suele ser lo más automatizado posible, utilizando escaners de vulnerabilidades y herramientas certificadas para tal tarea. Un tramite automatizado.

Las segundas auditorías, las que se realizan para estar seguro, son de otra forma. Suelen estar impulsadas por los equipos de seguridad y buscan descubrir de verdad cuál es el estado real de la seguridad. Suelen ser incómodas para negocio, ya que si sale algo severo obliga a trabajar a toda la empresa. En ellas se buscan equipos serios, se hacen a veces con equipos en paralelo que buscan a la vez los fallos de seguridad y presentan resultados que permiten a los responsables buscar no solo las deficiencias, sino una garantía de que el resultado al final de la auditoría será bueno.

¿Cada cuánto tiempo se debe hacer una auditoría de seguridad?

Si lo que buscas es una auditoría del primer tipo, como ya he dicho, las normas suelen ser laxas y permiten periodos de un año. Tener un sistema expuesto aInternet durante un año sin realizar auditorías de seguridad – por mucho mantenimiento de sistemas y actualización de parches que se haga – es una temeridad.

Hoy en día, los cambios del software base son constantes, y el entorno sobre el que correo una aplicación web en un instante de tiempo T1 no se parecerá al entorno de software en el que correrá en un instante de tiempo T1+1 año. Durante ese periodo el sistema operativo habrá actualizado cientos de parches, cambiado componentes internos y modificado pequeñas funciones en componentes que habrán sido modificados. Habrá cambiado el software que utiliza el cliente y el software de toda la electrónica de red que conecta desde el usuario final, hasta el almacén de datos.

No solo habrá cambiado el software base, sino que se habrán producido decenas o cientos de cambios pequeños en la web que sumados generarán un cambio sustancial en el código de la aplicación. Se habrán añadido nuevos interfaces de usuario para soportar los últimos gadgets, se habrá cambiado la plantilla de la web para adaptarse a los cambios de diseño y se habrán tocado pequeñas o grandes funcionalidades en la web, que sumados todos harán que el código de todo el sistema se parezca poco al que había en el T1 original.

Pero lo más importante es que durante todo ese periodo habrán sido publicadas tropecientas conferencias de seguridad ofensiva que mostrarán nuevas técnicas de hacking, nuevas herramientas o nuevo conocimiento sobre la tecnología existente, se habrán publicado miles de artículos en blogs, congresos académicos y revistas técnicas y habrán aparecido cientos de vulnerabilidades en el software publicadas en foros, listas de correo o bases de datos de expedientes de seguridad.

La suma de estos tres factores, es decir, el software base de la aplicación web sobre la que corre el servicio, los cambios en el código de la aplicación y el avance del conocimiento en técnicas de ataque, hacen que en un año el resultado de una auditoría web en T1 y en T1+1 año pueda resultar “inseguramente” distinto.

La ventana de tiempo importa

Este periodo de tiempo es lo que permite que cuando se hace una auditoría de seguridad, por regla general, siempre aparezcan cosas de nivel crítico. Es común auditar un sistema y acabar encontrando cosas de alta criticidad. Si has hecho auditorías de seguridad ofensiva, estarás acostumbrado a que en el 90 % de los casos acabes entrando hasta la cocina usando las últimas herramientas que traiga para pentesting Kali, los últimos exploits de Metasploit o buscando fallos de SQL Injection en las últimas páginas web añadidas.

Esta ventana de tiempo es también uno de los elementos que permite que, como decía en la presentación, los ciberespías siempre ganen, ya que si el malo descubre un fallo antes que lo descubra el pentester o el auditor de seguridad, entonces ya habrá ganado.

Pentesting Continuo, Pentesting by Desing

Es por esto por lo que para que un sistema esté “razonablemente” seguro, decía yo que los auditores tienen que ser más rápidos encontrando los fallos de un sistema que los malos explotándolos. Para ello es necesario que cada vez que se cambia el software de base o se realiza un cambio en una aplicación un pentester pruebe todas las técnicas conocidas, además de que cada vez que se descubre un nuevo bug, una nueva técnica de hacking o un nuevo fallo de una tecnología, esta se revise sobre todo el sistema.

Con estas ideas es con lo que en Eleven Paths estamos trabajando en hacer de laFOCA una solución “FOCA as a Service”, para revisar la seguridad de una aplicación web constantemente, revisando todos los días todos los fallos conocidos sobre el sistema. Evolucionando el Pentesting Driven by FOCA a un Pentesting Done by FOCAañadiendo día a día nuevas pruebas de auditoría. Es decir, revisando una base de conocimiento K1 sobre un sistema en los instantes de tiempo T1, T2,T3, … Tn, pero al mismo tiempo que se realiza ese análisis constante en tiempo, la base de datos de conocimiento irá creciendo día a día, pasando a ser K2, K3, … Kn a lo largo del tiempo.

Esto nos dejaría que un sistema informático deberá soportar el pentesting by desing, permitiendo que se revise el conocimiento de seguridad Kn en un instante de tiempo Tn. Es decir, la auditoría de seguridad de un sistema debe ser algo lineal y constante, que mantenga el nivel de intensidad a lo largo del tiempo.

¿Es sostenible esta revisión continua de la seguridad?

A día de hoy muchos sistemas no están preparados para esta intensidad de auditoría. Ya muchos administradores se ponen nerviosos con pensar sólo en que llega “la semana de la auditoría” o “la noche de la prueba de DDOS”, como para escuchar que se van a estar realizando estas pruebas de forma continuada. Lo sé. Pero es a donde creo que debemos llegar, a que realizar un proceso de auditoría de seguridad continuado sea algo habitual que se realiza antes de publicar el servicio enInternet.

Saludos Informáticos!

viernes, 20 de junio de 2014

Un Juego de Android que roba los mensajes de WhatsApp

Hace un par de días llegó un comentario al post que tengo sobre "Cómo Espiar WhatsApp" en la que se hablaba de un servicio para robar la base de datos deWhatsApp mediante un falso juego para Android. La idea es tan sencilla como convencer a un amigo, compañero, pareja, hijo, enemigo, etcétera para que se instale ese juego para que le robe la base de datos de WhatsApp y luego poder consultar los mensajes a través de una página web que te cobrará por ello.

El juego no es más que un sencillo - y feo - en JavaScript que lleva incrustado un código Java que accede a la base de datos y las fotografías de las víctimas del engaño. Es decir, la definición clásica de un Caballo de Troya, dejas pasar un juego aparentemente inofensivo y este te roba los datos. Este esquema está descrito de igual forma para terminales iPhone en el libro de Hacking iOS, siguiendo un esquema similar al que utilizaron tanto Charlie Miller con InstaStock como elmalware Find & Call para conseguir saltar todos los controles de seguridad de App Store.

La gran diferencia entre Google Play y App Store es que, mientras que en App Store los controles - aún lejos de ser perfectos - complican mucho la vida a los desarrolladores de app maliciosas, en Google Play esto parece un cachondeo. En el caso de WhatsApp ya vimos como casi todos los días aparecen nuevas apps maliciosas pretendiendo ser la popular app de mensajería en Google Play, y una appcomo ésta, orientada a robar los datos de los usuarios ni tan siquiera se oculta, tal y como se puede ver en las condiciones del servicio.

Supongo que asumiendo que "la policía es tonta", el servicio pone, como el que no quiere la cosa, que puede hacer una copia de seguridad de tus archivos, que luego dejará consultar vía una página web para que cualquiera pueda acceder a los mensajes robados sólo con poner el número de teléfono y pagar.

Aprovechando que tenemos un equipo de investigación de Eleven Paths en Málaga, le pedí a mis compañeros de Eleven Paths que le echaran un vistazo a lo que me estaban enviando con el comentario. Con un poco de revisión por Internet se puede ver que este mismo mensaje o uno similar al que había sido dejado en mi blog había sido publicado en varios fotos utilizando nombres distintos, todos creados en fechas similares y más que probablemente desde las mismas direcciones IP.

Por supuesto, echando una ojeada a la app, se puede ver como el código no deja lugar a dudas de lo que va a hacer. Se puede ver fácilmente tras decompilar el Javaque en esta sección se accede tanto a la base de datos, como a los ficheros enviados y recibidos.

Me preguntaba Jordi Évole en la entrevista si esto es legal, y lo cierto es que los que han creado esta app se deben sentir bastante impunes, ya que está creada desde una empresa sita en España que se publicita junto al servicio. Hablan de "copia de seguridad", pero directamente asocian esta app a un servicio para buscar los mensajes de WhatsApp robados y hacen campañas de spam con explicaciones claras de cómo funciona servicio.

No sé si la "policía es tonta" y se creerá que esto realmente es para jugar "y hacer una copia de seguridad de ficheros", pero lo que sí que creo es que Google Playdebería hacer muchas más comprobaciones de seguridad, ya que con dar el permiso de acceso al almacenamiento cualquier app maliciosa puede llevarse la intimidad de tu WhatsApp

Update: Tras hablar con el Google, han tirado la app de Google Play. Bien por ellos.

Saludos Informáticos.

lunes, 24 de febrero de 2014

Descargar Ccleaner 4.03 Full última versión

CCleaner es una herramienta muy eficiente y fácil de usar que limpia y optimiza tu PC para asegurar el mejor rendimiento, libre de malware. CCleaner se caracteriza por la velocidad a la que lleva a cabo los análisis y correcciones. Su principal objetivo es limpiar los archivos innecesarios de tu disco rigido y al abrir el programa podras ver los diversos aspectos de Windows que deseas buscar, de forma muy clara. CCleaner también detectará las aplicaciones instaladas que pueden existir en los archivos, tales como Google Earth o configuraciones de las historias de Flash Player.

El programa de desinstalación es probablemente más útil y más potente que el desinstalador propio de Windows, a pesar de que debe usarse con cuidado para evitar la eliminación de los componentes vitales. Al instalar el CCleaner, se te preguntará si deseas instalar Google Chrome, para iniciar a sesionar en sitios web con los debidos controles de seguridad.

La interfaz de CCleaner es muy fácil de navegar y antes de tomar cualquier acción, siempre se te pedirá que confirmes que estás seguro de lo que quieres hacer.

LINK DE DESCARGA

http://adf.ly/RsTBM

viernes, 21 de febrero de 2014

Descargar Ubuntu Linux

Información: 1- A partir de esta versión se promoverá una imagen ISO de 64 bits.

2- La ISO dejará de tener 700 MB y ahora tendrán 750 MB, por lo que serán DVD.

3- Se trabajará en mejorar el inicio de sesión, LightDM utilizará el fondo de pantalla establecido por el usuario y otros datos podrían quedar expuestos en la ventana de bienvenida.

4- Serán establecidas las implementaciones técnicas y prácticas de soporte para multi-monitor en Ubuntu 12.04.

jueves, 20 de febrero de 2014

Windows 8 vs Obuntu Linux

Sin duda, ningún Sistema Operativo es perfecto. Como resultado, todos tienen sus pros y contras. En esta ocasión comparamos las ventajas de la última versión de Ubuntu con el ahora famoso Windows 8. Tal vez aquello que no te gusta de Windows 8 Pro, Ubuntu pueda darte una mejor opción. Ubuntu 12.10 "Quetzal Quantal" se presentó una semana antes que su competidor Windows 8, de hecho, comenzó con un reto muy valiente: "Evita el dolor de Windows 8." Ese eslogan apareció en la página de inicio de Ubuntu en las primeras horas después del lanzamiento oficial del sistema operativo, y atrajo una considerable atención. Aunque poco después se retiró esa frase publicitaria. Las ventajas ante Windows 8 Ubuntu tiene 20 millones de usuarios, cantidad equivalente al 5% del mercado de sistemas operativos de escritorio. En tanto, Windows posee el 84%. Windows 8 ha tenido una buena aceptación hasta el momento (al menos en el segmento de PC de escritorio), pero según un informe de la Consultora Gartner, el 80% de las empresas no adopatarán al menos en un principio a Windows 8. 1. Unidad vs Interfaz Modern Tanto Microsoft como Canonical optaron por cambiar drásticamente su interfaz. En el caso de Microsoft, por supuesto, es la interfaz “Modern”, antes conocido como Metro, en caso de Canonical, es “Unidad”. Ambos están diseñados para aprovechar las pantallas táctiles en mente, y adentrarse de lleno al mundo móvil. Al eliminar el botón Inicio y la manera como los usuarios interactúan con el sistema operativo, Modern representa un desafío considerable, pues significa enfrentar una curva de aprendizaje significativa Unidad, por otra parte, se integró a Ubuntu en abril de 2011 con Ubuntu 11.04 "Natty Narwhal". Definitivamente ha tenido cambios, pero más de un año ha pasado, y Canonical ha revisado y mejorado la interfaz correspondiente. A pesar de que todavía tiene numerosas críticas, la mayoría de la gente reconoce que ha madurado y mejorado. Algunos observadores, de hecho, incluso han sugerido que se puede sentir más familiar que la propuesta de Microsoft. 2. Personalización Linux ha sido durante mucho tiempo conocido por su casi ilimitada capacidad de personalización. Este es un punto en el que Windows 8 y Ubuntu difieren considerablemente. Windows 8 permite a los usuarios personalizar algunos aspectos de su entorno, como por ejemplo especificar el tamaño de los iconos de los mosaicos, su animación, agrupación, sólo por mencionar algunas. La mayoría de los cambios que se pueden hacer en Windows 8, son meramente estéticos. Peor aún, no permite de forma predeterminada cambiar las funciones como retirar el menú de mosaicos, recobrar el menú inicio, entre otros. Unidad (Unity) de Ubuntu, en cambio, es más que una interfaz de usuario flexible. En primer lugar, es muy fácil sustituir una función por otra incluyendo KDE , Xfce , LXDE, GNOME 3 Shell y MATE. También, Unidad dispone de herramientas de terceros para la personalización del SO, incluyendo la cada vez más popular Ubuntu Tweak. La regla de oro de Linux ha sido siempre algo así como: ”Si no te gusta, modifícalo a tu gusto”. Un ejemplo de ello es que en Ubuntu puedes ejecutar hasta cuatro escritorios, algo que no le es posible hacer en Windows 8, ni siquiera en su versión Pro. 3. Aplicaciones Mientras que Windows 8 Pro viene incluido con Microsoft Internet Explorer 10, Ubuntu viene con una amplia variedad de paquetes de software de código abierto como Firefox, Thunderbird, LibreOffice, y mucho más paquetes gratuitos. Otro ejemplo: Al igual que en SkyDrive de Microsoft, Ubuntu One permite a los usuarios realizar copias de seguridad y acceder a sus archivos de Ubuntu, Windows, Web o un dispositivo móvil. Al igual que la tienda de Windows, el Centro de Software de Ubuntu da a los usuarios acceso al escritorio instantáneo a miles de aplicaciones, muchas de ellas gratuitas. SkyDrive de Microsoft permite a los usuarios cargar y sincronizar archivos en la nube y acceder a ellos desde prácticamente cualquier navegador o dispositivo local. 4. Compatibilidad con hardware Para ejecutar Windows 8 en tu PC necesitarás un procesador es de 1 GHz o más rápido con soporte para PAE, NX, y SSE2. También necesitarás un mínimo de 1 GB de RAM para la versión de 32-bit o 2 GB para la versión de 64-bit, junto con 16GB (32 bits) o 20GB (64 bits) de espacio en tu disco duro. Para los gráficos necesitarás un dispositivo compatible con gráficos Microsoft DirectX 9 con un controlador WDDM. Por supuesto, eso es lo mínimo. Si deseas sacar ventaja de las características táctiles de Windows 8, obviamente necesitas un dispositivo multitouch. Para aprovechar al máximo el software, querrás mucho más que las especificaciones dadas anteriormente. Los requisitos de Ubuntu son mucho más modestos: Canonical recomienda 512 MB de RAM, además de 5GB en el disco duro. También encontrarás versiones como Lubuntu y Xubuntu para máquinas más antiguas. En resumen, si el hardware es un factor limitante para ti, Ubuntu es probablemente la mejor opción. 5. Herramientas administrativas Para los controles administrativos, Windows ofrece Active Directory, utilizando servidores dedicados. Canonical es compatible con Active Directory, por lo que clientes Linux pueden unirse a un dominio de Active Directory mediante software de terceros, como Likewise Open o Centrify. Además, Canonical ofrece “Paisaje”, una herramienta de administración empresarial propia que puede realizar tareas de Active Directory para Windows. Paisaje representa una herramienta fácil de usar, basada en un navegador y un panel de control a través del cual se pueden administrar escritorios, servidores e instancias de la nube. Windows 8 y Linux Ubuntu 12.10 ofrece soporte para protocolos populares de VPN. 6. Soporte VPN Los usuarios que requieran soporte para redes privadas virtuales, lo encontrarán tanto en Windows 8 como en Ubuntu 12.10. En Ubuntu, esta utilidad utiliza un protocolo de seguridad personalizada basada en SSL / TLS para el intercambio de claves. 7. Soporte al usuario Microsoft ofrece soporte para Windows 8 Pro a través de su TechNet, un servicio de suscripción, por un precio a partir de U$D 149 por año. Canonical ofrece Ubuntu Advantage, otro servicio de suscripicón a partir de U$D 80 por año, incluyendo la cobertura legal y el uso de la herramienta administrativa “Paisaje”. 8. Precio Por último, pero no menos importante, Ubuntu Linux es gratuito, mientras que Windows 8 Pro, cuesta en México 3,735 pesos. Entonces, ¿qué sistema operativo es mejor para los usuarios de pequeñas empresas? La respuesta, por supuesto, está en el ojo del que mira. Es casi seguro que valdrá la pena probarlo en línea o probarlos gratuitamente antes de decidirse a comprar.