|Falsos Positivos

OWASP Appsec Tutorial Series

2011-11-25T21:17:00.000-08:00

Amigos aca les pongo una serie de tutoriales de la OWASP, a medida que vayan sacando los publicare en esta entrada, espero que les guste, a titulo personal me parecieron muy buenos.

OWASP Appsec Tutorial Series - Episode 1: Appsec Basics

OWASP Appsec Tutorial Series - Episode 2: SQL Injection

OWASP Appsec Tutorial Series - Episode 3: Cross Site Scripting (XSS)

Hablando un poco sobre seguridad

2011-10-14T19:25:00.000-07:00

Que tal amigos, tenia mucho tiempo que no escribía una entrada, esto dado a mis ocupaciones y cosas personales por lo que aveces no me da chance de ponerme a escribir cualquier tema que tenga pendiente de comentar por acá.

Hoy sin embargo quería compartir algo que me gusta hacer desde hace mucho tiempo y básicamente es dar charlas, ponencias, transmitir ideas, impartir e intercambiar conocimientos.

Es una de las actividades que de verdad me gusta hacer, disfruto mucho haciéndola y me entretiene bastante. Este año por naturaleza de mi trabajo y por las cosas de las cuales me ocupo me han citado a varias charlas, conversatorios, talleres dirigido a todo tipo de publico como niños, universitarios, profesionales y a comunidades organizadas donde a cada uno he llevado lo mejor de mi como ponente y como persona.

Acá les dejare alguno de los sitios donde he estado y algunas fotos.

Pto Ordaz - Bolivar

Charla a Universitarios y a profesionales sobre Certificación Electrónica
Charla de Certificación Electrónica a miembros de la APN (Administración Publica Nacional)
Charla Sobre Seguridad en Aplicaciones Web - OWASP en la JINFOUNEG

San Felix - Bolivar

Charla sobre Seguridad en Redes Sociales a Comunidad Organizada

Maturin - Monagas

Charla a Universitarios y a profesionales sobre Certificación Electrónica
Charla a Universitarios y Profesionales sobre seguridad en la Web 2.0
Charla de Certificación Electrónica a miembros de la APN (Administración Publica Nacional)

Pto la Cruz - Anzoategui

Charla a Universitarios y a profesionales sobre Certificación Electrónica
Charla de Certificación Electrónica a miembros de la APN (Administración Publica Nacional)
Charla de Seguridad en Redes Sociales a niños y niñas
Ponencia sobre Seguridad en Aplicaciones Web - OWASP a universitarios y profesionales

Santa Ana de Coro - Falcon

Charla a Universitarios y a profesionales sobre Certificación Electrónica
Charla a Universitarios y Profesionales sobre seguridad en la Web 2.0
Charla de Seguridad en Redes Sociales a niños y niñas
Charla sobre Seguridad en Redes Sociales a Comunidad Organizada

Como crear contraseñas seguras y de manera rapida.

2011-08-09T06:39:00.000-07:00

Muchas veces pensamos unos buenos minutos y quemamos un montón de neuronas para crear contraseñas un tanto complejas, pero me ha pasado que esos minutos pueden llegar a ser una hora, tal vez por que soy un tanto paranoico con esto de las contraseñas, de manera tal que si cuento con muy poco tiempo creare una contraseña con lo que primero se me venga y tal vez no sea lo mas adecuado.

Nada mas fácil, practico y seguro que crear una contraseña con Open SSL.

Para esto necesitamos tener instalado OpenSSL en nuestro sistema, si estamos en la consola de un GNU/Linux, específicamente de un Debian o Ubuntu seria de la siguiente manera.

sudo apt-get install openssl

Una vez instalado OpenSSL podemos generar contraseñas aleatorias y de manera segura con el siguiente comando.

openssl rand -base64 12

y obtendremos la siguiente salida.

nB+gBKxkg3IenCDu

Estamos claro que hay que tener mucho cuidado con el resguardo de las contraseñas sobre todo si pertenece a un servicio critico o si con esa contraseña se tiene acceso a información valiosa.

Los 12 principios del testeo de la OWASP Testing Guide

2011-06-05T09:37:00.000-07:00

No existe la solución definitiva

La seguridad no consiste en comprar programas o “cacharros” y utilizarlos sin más. La seguridad está relacionada con las personas y los procedimientos, además de con la tecnología. No existe ninguna herramienta ni ningún appliance que simplemente por utilizarlo ya nos de seguridad. Las herramientas sirven para escalar nuestro trabajo (permitiéndonos hacer más con menos esfuerzo) y para implementar políticas de seguridad. Pero la solución definitiva no existe.

Hay que pensar estratégicamente, no tácticamente

Cuando se detecta un fallo de seguridad no hay que “simplemente” solucionarlo, desplegar el parche y esperar el siguiente fallo. Es necesario aplicar a nuestro proceso de desarrollo las medidas correctivas que nos permitan reducir el número de fallos que se producen. La prevención es la mejor manera de proteger la seguridad de nuestros sistemas.

El ciclo de desarrollo es la clave

La OWASP Testing Guide insiste a lo largo de toda la primera parte en que lo fundamental del análisis de seguridad es su integración en el ciclo de desarrollo de software. Es importante que desde la fase de definición de requerimientos y diseño de la aplicación se tenga la seguridad en mente.

Testear pronto y frecuentemente

Cuanto antes comencemos a testear y cuanto más frecuentemente lo hagamos durante el proceso de desarrollo, mejor software produciremos, más robusto y con menos fallos. De esta forma también se reducirán los costes de programación al corregir los fallos en una fase inicial del desarrollo de la aplicación.

Comprender el alcance de la seguridad

Analizar la seguridad de una web es un constante proceso de priorización. No podemos analizar exhaustivamente todos y cada uno de los puntos de una aplicación web por lo que debemos tener en cuenta dónde están los riesgos y priorizar en aquellos que más probablemente va a buscar un atacante y más impacto tienen en el negocio.

Desarrollar la mentalidad correcta

Nadie tiene, al menos nadie que yo conozca, un nombre de 2049 caracteres, con caracteres como ‘, ; o #. Sin embargo, esto no significa que en un campo de entrada de un nombre de persona no pueda introducirse una cadena con esta longitud y con estos caracteres. Cuando se analiza la seguridad de un software hay que pensar “fuera de la caja”, hay que usar “pensamiento oblicuo” y ver de qué manera un atacante podría vulnerar el correcto funcionamiento de una aplicación introduciendo datos incorrectos. Normalmente se usan casos extremos, cero caracteres, miles de caracteres, caracteres infrecuentes, cadenas de formato, etc. Para realizar análisis de seguridad es imprescindible desarrollar la mentalidad correcta.

Dominar la materia

En este punto, OWASP se refiere a dominar los requerimientos de la aplicación que se está desarrollando. Aunque se haga uso de metodologías ágiles de programación, es importante que exista una documentación básica de los requerimientos de la aplicación que se está desarrollando, en forma de diagramas, pseudocódigo, actas de reunión, una wiki o cualquier otro método.

Utilizar las herramientas adecuadas

“Dame seis horas para cortar un árbol, y pasaré las primeras cuatro afilando el hacha.” Abraham Lincoln

Las herramientas son un aspecto fundamental en un análisis de seguridad. Sin las herramientas adecuadas y su conocimiento se pierde eficiencia y eficacia y se invierte más tiempo es tareas repetitivas, dejando menos tiempo para el análisis.

El diablo está en los detalles

Un análisis superficial de seguridad como el que nos ofrecen determinadas herramientas de seguridad, no es suficiente. Es conocido que en el campo de la seguridad los falsos positivos son muy frecuentes. Para realizar un análisis diligente es necesario verificar las vulnerabilidades que identifiquemos y estirar de todos los hilos.

Utilizar el código fuente cuanto esté disponible

No siempre es posible disponer del código fuente de una aplicación cuya seguridad estamos analizando, sin embargo, la identificación de determinadas vulnerabilidades es más exhaustiva si el experto que analiza la web dispone del código y tiene los conocimientos necesarios para analizarlo.

Desarrollar métricas

Las métricas son un aspecto en ocasiones minusvalorado, pero fundamental en el campo de la seguridad. Si podemos medir, podemos mejorar. No es sencillo, pero es necesario desarrollar las métricas adecuadas para poder medir la seguridad de nuestras aplicaciones y la calidad del análisis y así poder establecer objetivos de mejora concretos.

Documentar

Documentar es una palabra temida en ocasiones por los técnicos. Sin embargo, documentar es un aspecto fundamental de cualquier aplicación y, por supuesto, de cualquier análisis de seguridad. Si la dirección de la organización no puede entender el problema existente, es improbable que disponga los recursos necesarios para solucionarlo. Igualmente, si no documentamos los problemas, no podremos calcular métricas y no tendremos referencia en el futuro de fallos pasados.

Fuente: Florencio Cano

Que es la OWASP Testing Guide

2011-05-04T19:31:00.000-07:00

Determinadas aplicaciones web se están convirtiendo en un activo crítico en numerosas empresas por la información que procesan y almacenan. Ya no es raro encontrar soluciones ERP, CRM, bussiness inteligence, etc. vía web utilizadas por empresas de todos los tamaños. La seguridad de las mismas es un aspecto fundamental ya que la confianza de los clientes está en juego.
Cuando analizamos la seguridad de una web entendemos el término “seguridad” en un sentido amplio. Analizar la seguridad de una aplicación web implica:

Comprobar si existen errores en la programación o en la configuración de la misma que permitan a un atacante vulnerar la confidencialidad, integridad, disponibilidad o trazabilidad de los datos.
Comprobar que el funcionamiento de la aplicación está conforme a los requerimientos definidos por la organización y está alineado con el negocio.
Comprobar que el procesado y almacenamiento de datos cumple con la legislación y los compromisos contractuales referentes a la aplicación.

En ocasiones un análisis de seguridad se realiza por ser requisito o estar recomendado por otro tipo de normativa, como la ISO 27001. Ésta norma, para quien todavía no la conozca, establece los requerimientos de un sistema de gestión de seguridad de la información (SGSI), y establece distintos controles relacionados con un análisis de seguridad web.

¿Por qué analizar la seguridad de una web?

Si proteger la confidencialidad, integridad, disponibilidad y trazabilidad de la información de una aplicación web no parecen suficientes motivos para revisar una aplicación web, pensemos en otros casos:

Daños a la imagen de la empresa
Responsabilidad legal, sanciones
Interrupción del servicio
Espionaje industrial

Estos argumentos se centran en los beneficios resultantes de evitar daños a la organización, sin embargo, realizar un análisis de seguridad de una aplicación web también ofrece un valor a la empresa que la distingue en el mercado. Realizar análisis periódicos de la seguridad de nuestra aplicación web por una empresa independiente es un buen argumento comercial para diferenciarse de la competencia y dar una seguridad extra a un potencial cliente que todavía tiene dudas.

¿Qué es OWASP y la OWASP Testing Guide?

La Open Web Application Security Project es una organización mundial sin ánimo de lucro que tiene como objetivo mejorar la seguridad del software en general, y especialmente de las aplicaciones web.

OWASP es una entidad independiente que no respalda ni recomienda empresas ni productos comerciales concretos.

La OWASP Testing Guide es un marco de análisis de seguridad web desarrollado y documentado por OWASP. En su guía se diferencian dos partes fundamentales. En la primera parte se habla principalmente de teoría y filosofía del proceso de análisis de seguridad de aplicaciones. Se describen principios, técnicas y métodos básicos que pueden utilizarse durante un análisis de seguridad y se establece qué, cuándo y cómo testear. En la segunda parte se describen 66 controles de seguridad, divididos en 10 categorías.

ES Gestor de Seguridad para Android

2011-01-20T19:12:00.000-08:00

Siguiendo con la onda de escribir sobre aplicaciones de seguridad para Android les presento a ES Gestor de seguridad, es una aplicacion desarrollada por la empresa ES trong.

La aplicación se divide en tres partes, la primera de ella es un protector de aplicaciones la cual nos permite agregar una contraseña y seleccionar las aplicaciones que queremos proteger de manera tal de que no puedan ser abiertas por terceros y así mantener una privacidad adecuada en dichas aplicaciones.

Podemos detectar amenazas con la segunda opción, la cual nos permite un scaneo sobre la tarjeta SD y los paquetes instalados en el sistema, buena opción cuando no contamos con un antivirus en nuestro Android.

La tercera opción que nos ofrece el ES Gestor de Seguridad es la de bloqueo remoto, particularmente para mi la mas importante debido a su sencillez y eficacia, el bloqueo remoto nos permite bloquear mediante un SMS a el teléfono en caso de perdida bloqueando consigo la tarjeta SIM, Una vez bloqueado el teléfono nos llega un correo con el respaldo de los mensajes SMS y los contactos, además de la ubicación del teléfono mediante google map.

Para bloquear el teléfono es necesario enviar un SMS a el numero del teléfono extraviado y el contenido del mensaje tiene que ser !ES! Password , el password tiene que ser establecido en la configuración de la aplicación.

Flu un troyano orientado a los procesos de Auditoria y el haking Etico

2011-01-10T13:41:00.000-08:00

Sobre Flu

Flu project es un proyecto que nace de la inquietud de dos mentes por iniciar un proyecto en comunidad sobre la temática de la seguridad de la información y el malware, en el que todos los usuarios puedan participar para compartir sus conocimientos y aprender de otros usuarios.

El proyecto consiste en el desarrollo de una aplicación para el control remoto de máquinas Windows a través del troyano Flu, orientado a la generación de botnets a través de la tecnología HaaS.

¿Qué es Haas?

El término HaaS (Hacking as a Service) deriva de las siglas SaaS, Software as a Service. SaaS es un modelo de distribución de software en donde se provee el servicio de mantenimiento y soporte del software que utilizan varios clientes desde un único punto (servidor).

HaaS es una variante de SaaS orientada al Hacking. En el caso de este proyecto HaaS hace referencia a la generación de botnets a través de un troyano para entornos Windows.

¿Qué es Flu?

Flu es un troyano orientado a la construcción de botnets, también conocidas como redes de máquinas zombies. Se encuentra diseñado con una arquitectura cliente-servidor.

El cliente consiste en un pequeño ejecutable programado en C# que permitirá infectar cualquier sistema operativo Windows, incluyendo Windows 7, para conseguir el control de la máquina en la que se hospeda.

El servidor se encuentra desarrollado en PHP y corre sobre Apache. Su objetivo es enviar comandos a todos los clientes Flu que haya repartidos por Internet para obtener información de las máquinas en las que se encuentran instalados, y almacenarla en el servidor.

La información de los usuarios podrá ser consultada desde el servidor en cualquier momento desde una interfaz gráfica desarrollada en HTML y PHP.

¿Cómo participar?

Se puede participar de diversas maneras, quizá la más interesante sea la de obtener el código fuente del proyecto y desarrollar alguna idea propia. Se agradecería que los cambios y desarrollos propios se comunicasen y así conseguir que otros usuarios puedan observar las mejoras y disfrutarlas.

Otra manera de participar sería mediante la propuesta de ideas, funcionalidades que se podrían planificar y desarrollar para el proyecto. Las ideas se pueden proponer mediante el uso del foro, o enviando un correo.

¿Cuál es la finalidad?

La finalidad del proyecto es que todos los usuarios que quieran aprender en el desarrollo de herramientas de administración remota se aprovechen de los conocimientos de otros usuarios.

Así mismo, el proyecto tiene también la finalidad de concienciar a los usuarios sobre los peligros del malware, enseñando el funcionamiento del mismo de una manera sencilla a través de Flu y mostrando medidas de protección y desinfección.

Este proyecto pretende que a partir de un enfoque de pequeños incrementos realizados por la comunidad se puedan ir obteniendo pequeñas nuevas versiones con nuevas funcionalidades. En la web del proyecto se llevará control completo de las versiones para que aquella persona que no pueda seguir el proyecto al día se pueda reenganchar siempre que lo desee.

El proyecto es open source y Libre bajo licencia GPL V3

Los Fundadores del proyecto son Pablo Gonzalez y Juan Antonio Calles.

Webcast del proyecto

Fuente: http://www.flu-project.com

1er Congreso Internacional de Seguridad de la Información

2010-11-29T10:45:00.000-08:00

Del 22 al 26 de Noviembre de 2010 en Caracas se llevo a cabo el 1er Congreso Internacional de Seguridad de la Información, este fue realizado en el salón río Caroni del Hotel Gran Melia Caracas, promovido por SUSCERTE (Superintendencia de servicios de certificación electrónica).

En el congreso se tocaron varios puntos como:

Certificación Electrónica
Gestión de Incidentes Telemáticos
Marco Legal en Materia de Seguridad de la Información
Informática Forense

Este gran evento contó con ponentes nacionales e internacionales con el objetivo de divulgar y dar a conocer los aspectos relacionado con la seguridad de la información y el trabajo que se esta llevando actualmente en nuestro país y en Latinoamerica.

Entre los ponentes estuvieron:

Niurka Hernandez - SUSCERTE
Jorge Uyá - TB Security
Rafael Rico - MPPRE
Gabriel Moliné - VenCERT
Omar Alvarado - SUSCERTE
Oscar Lovera - PROCERT
Francis Ferrer - CENIF
Luis Enrique Hellin - New Technology Forensics
Matias Bevilacqua - CF Labs
German Realte - ADIC
Jenny Vallenilla - CICPC
Entre otros...

1er Congreso Internacional de Seguridad de la Informacion

Protege tu dispositivo movil con Lookout

2010-11-29T08:47:00.000-08:00

Unas de las primeras app que instale para mi dispositivo móvil fue Lookout, esta app nos permite detectar la existencia de virus en nuestro dispositivo y analizar todas las descargas que hacemos de manera tal que pueda interrumpir la ejecución de alguna aplicación que pueda ser malware (virus, troyanos, gusanos, rootkits) y pueda infectar nuestro dispositivo móvil.

Además de ser un anti-virus esta aplicación tiene dos funcionalidades mas, una es la de backup la cual nos permite hacer el respaldo de todos los archivos de fotos, contactos, llamadas y mensajes directo en la nube y la otra es la de poder localizar nuestro dispositivo mediante GPS en caso de robo o perdida, también una vez visto nuestro dispositivo en el mapa podemos activar una alarma y el cel empezara a sonar en forma de sirena.

Con acceder a https://www.mylookout.com/, y usar nuestra cuenta podemos tener todos los servicios que nos ofrece esta poderosa herramienta.

Para descargar:

Buscar en el market: Lookout

https://www.mylookout.com/

Network Discovery para Android

2010-10-19T09:07:00.000-07:00

Navegando en la red, me conseguí con esta herramienta la cual es muy útil, Network Discovery es capaz de hacer un mapeo de la red y darnos la información util de los equipos que estén conectados a la misma, IP, dirección MAC, marca de la interfaz de red utilizada por el equipo, entre otras informaciones.

A cada equipo conectado a la red le podemos hacer el barrido de puertos para determinar cuales puertos tiene abierto y cuales tiene cerrados. y nos da la opción de conectarnos a puertos http, ssh, Telnet.

Lo genial que encontré en la aplicación es su sencillez y el buen desempeño que tiene, además por ser para dispositivos móviles con Android su movilidad hace que la tarea de mapear redes y hacer barridos de puerto sea algo fácil y agradable.

Para descargarlo a tu Android aquí dejo el código o puedes ir a el Market de Android y buscar Network Discovery.

La seguridad de la información desde el punto de vista del Negocio II

2010-10-18T20:59:00.000-07:00

Beneficios del uso de políticas, buenas practicas de seguridad de la información y la adopción de un SGSI.

Existen numerosas e importantes razones para afrontar el desarrollo y la implantación de un Sistema de Gestión de la Seguridad:

Reducción de costes: Esta debería ser una de las principales motivaciones para llevar cabo la implantación de un SGSI, ya que incide directamente sobre la rentabilidad económica de una organización. No suele serlo porque lo que se ve en un principio es el coste del mismo, sin embargo, en un breve plazo, se puede observar como el SGSI evita varias situaciones que suponen un costo, a veces importante. Al detectar los principales focos de fallos y errores, y eliminarlos o reducirlos hasta donde es posible, se evitan costosos incidentes de seguridad, que hasta entonces se asumían como cosas que pasan. A veces se evitan incidentes que hubieran ocurrido de no haber tomado las medidas a tiempo, y eso es difícil de cuantificar, pero no por ello es menos real.
Optimizar los recursos y las inversiones en tecnología: Con un SGSI las decisiones se tomarán en base a información fiable sobre el estado de los sistemas de información y a los objetivos de la organización. Habrá una motivación de negocio detrás de estas decisiones, por lo que la dirección podrá comprenderlas y apoyarlas de manera más consciente. La organización dejará de depender exclusivamente de la experiencia o pericia del responsable de informática, o más peligroso aún, del proveedor habitual de informática, a la hora de valorar las distintas opciones de compra.
Protección del negocio: Con un SGSI en marcha se evitan interrupciones en el flujo de ingresos, ya que se está asegurando de una manera eficaz la disponibilidad de los activos de información y, por lo tanto, de los servicios que la organización ofrece. Esto en cuanto a la actividad cotidiana, pero también se está preparado para recuperarse ante incidentes más o menos graves e incluso garantizar la continuidad del negocio, afrontando un desastre sin que peligre el negocio a largo plazo.
Mejora de la competitividad: Cualquier mejora en la gestión de la organización redunda en beneficio de la eficacia y la eficiencia de la misma, haciéndola más competitiva. Además hay que considerar el impacto que suponen el aumento de la confianza de los clientes en nuestro negocio, la diferenciación frente a los competidores y una mejor preparación para asumir retos tecnológicos.
Cumplimiento legal y reglamentario: Cada vez son más numerosas las leyes, reglamentos y normativas que tienen implicaciones en la seguridad de la información. Gestionando de manera coordinada la seguridad tenemos un marco donde incorporar los nuevos requisitos y poder demostrar ante los organismos correspondientes el cumplimiento de los mismos.
Mantener y mejorar la imagen corporativa: Los clientes percibirán la organización como una empresa responsable, comprometida con la mejora de sus procesos, productos y servicios. Debido a la exposición de cualquier organización a un fallo de seguridad que pueda acabar en la prensa, este punto puede ser un catalizador de esfuerzos, ya que nadie quiere que su marca quede asociada a un problema de seguridad o una multa por incumplimiento, por las repercusiones que acarrea.

La seguridad de la información desde el punto de vista del Negocio I

2010-09-27T22:11:00.000-07:00

Hay muchos y diversos motivos de por que la seguridad de la información debe ser tomada en cuenta en cualquier organización independientemente de su tamaño o sector económico, algunos de los cuales se pueden leer o escuchar a través de la prensa, radio, hasta por la red social Twitter (Robo de información, casos de phishing en la banca, fraudes electrónico, filtraciones no deseadas de información, cortes en las comunicaciones, denegación de servicio etc.)

Estos incidentes de seguridad que se ocasionan generan cuando mínimo molestos inconvenientes en la organización y en muchos casos son económicamente graves trayéndose así: paradas de producción, perdida de clientes, perdida de reputación, desventajas competitiva ante el mercado, perdida de oportunidades de negocios etc. Alejando así a la organización de los objetivos del negocio.

Según el ultimo estudio realizado por Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers, llamado Prácticas de Seguridad de Información de las empresas en Venezuela 2007 - 2008, en su sección "Incidente de seguridad de información: Impacto, causa y consecuencia" . Afirma que existe una notable ocurrencia de eventos relacionados con empleados, situación que coincide con consultas similares realizadas a nivel internacional, y que refuerza la premisa que las personas que conocen la organización son potencialmente más riesgosas.

Además hay que tener en cuenta que, a pesar de que los ataques a sistemas informáticos reciben mucho mas atención por la prensa, existe un considerable porcentaje de incidentes con origen interno, es decir, ocasionados por algún empleado y que, a pesar de no contar habitualmente con una gran difusión, son potencialmente más dañinos por el conocimiento de primera mano que tienen los que los generan. Es decir, pueden entrar en los sistemas con facilidad, saben dónde está la información más útil o que puede ser utilizada para hacer daño a la organización, o simplemente sacan información que en
caso de pérdida o filtración puede ocasionar problemas.

Para decirlo de una manera breve, ¿se puede permitir las organizaciones no proteger su información?

La importancia de la seguridad de la información en un país como Venezuela donde hace falta planes de concienciación, campañas de promoción y formación es muy relevante debido a que es un tema directamente relacionado con la supervivencia del negocio y con el aseguramiento de los ingresos. Para un banco sería dramático que le fallaran sus sistemas información por unos minutos, pero tienen la capacidad de evitarlo, y en su caso, de solucionarlo. Pero para una PYME, un simple fallo en sus sistemas de información o la parada sus servidores en unas horas, puede ocasionar un trastorno importante, en muchos casos con repercusiones económicas, ya que se podría parar la actividad y se perderían encargos o ventas. En caso de desastres (incendio, inundación o robo), puede significar incluso el cierre a corto plazo del negocio.

Los nuevos avances han llegado a la disposición de las organizaciones, Nuevas tecnologías como: Informática móvil, redes inalámbricas, cloud computing, software de control, etc. Van incorporándose progresivamente a los negocios debido a sus evidentes ventajas, pero llevan consigo riesgos que no se consideran. Si además la empresa tiene empleados, el negocio corre un riesgo aún mayor.

Se puede decir entonces que los riesgos siempre están presentes en una organización y son atraídos a través de distintos factores, estos riesgos pueden ser mitigados a través de la aplicación de controles, políticas y procedimientos de seguridad de la información, viendo la información en sus diferentes presentaciones como el principal activo de la organización y su columna vertebral. Evitar problemas es una manera muy barata de ahorrar costos, como tantos otros aspectos de la gestión de cualquier organización, la clave está en adoptar una solución proporcionada a las necesidades del negocio.

Con la adopción de políticas de seguridad y buenas practicas que sean aplicadas adecuadamente en la organización dependiendo de los requerimientos y necesidades de la misma, se pueden tener varios beneficios, mejor aun si se implanta un SGSI (sistemas de gestión de seguridad de la información).

Reducción de riesgo
Ahorro de costos
Optimización los recursos y las inversiones en tecnología
Protección del negocio
Mejora la competitividad
Cumplimiento legal y reglamentario
Mantener y mejorar la imagen corporativa

Mas sobre estos beneficios en la próxima entrada.

III Jornadas de Ciencia y Tecnologia IUTC

2009-06-30T14:30:00.000-07:00

Otra vez el equipo conformado por la Ing. Samira Khazmou y el Staff de alumnos de la cátedra de Seminario del Dpto de Informática del IUTC dan a conocer las fecha de la III Jornadas de Ciencia y Tecnología, 15 y 16 de Julio serán los días en que se celebrara estas jornadas donde encontraremos Varias ponencias y feria de stand ambos días.

Aprovecho para decir que también estaré dando una ponencia sobre el Control Parental Sobre Software Libre.

Del Otro Lado del Clic

2009-05-26T22:52:00.000-07:00

Creo mucho en el poder de la concientización, para ustedes este video.
Lo que NO debes de hacer y las precauciones cuando se esta de cara a la internet.

Autoridad certificadora CA con GnoMint

2009-05-25T06:59:00.000-07:00

Veamos que dice la Wiki

En criptografía una Autoridad de certificación, certificadora o certificante (AC o CA por sus siglas en inglés Certification Authority) es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación.

Nuestro ejemplo

Vamos a pensar un poco sobre el CA que vamos a crear, En este ejemplo queremos crear una única Autoridad de Certificación Raíz de una empresa, por lo que el control de todos los certificados expedidos a partir de una sola base de datos. Esta Autoridad de Certificación Raíz emitirá certificados CA competente especializados (como se recomienda que una CA emite certificados con las mismas propiedades).

Generar el Certificado de Raiz

Lo Primero que tenemos que hacer es, crear una base de datos porque la ventana principal de gnoMint se publicará con la base de datos por defecto (~ / .gnomint / default.gnomint).
Luego que creemos nuestra base de datos procedemos a añadir nuestra autoridad certificadora CA para esto vamos a el menu hacemos clik en certificados luego en añadir y le damos en la primera opcion "Añadir Autoridad de Certidficacion Auto-Firmada".

GnoMint la proteccion de la base de datos

Para evitar esta situación, gnoMint tiene dos diferentes alternativas, no excluyentes:

Usted puede encriptar todos las claves privadas, asegurando la base de datos con una contraseña, de modo que sólo personas autorizadas pueden utilizar las claves privadas en la base de datos. Todas las claves privadas en la base de datos será cifrada utilizando un algoritmo AES256, en modo CTR. NSA considera AES, con 256 Bits de longitud de la clave, lo suficientemente seguro como para el archivo de la documentación TOP SECRET.

Otra alternativa es mantener la CA raíz de una clave privada protegida por contraseña en un archivo externo. Para aumentar la seguridad, este archivo puede residir en un dispositivo extraíble externos, tales como una pequeña unidad USB que normalmente se mantiene seguro y se usa sólo cuando se necesite firmar con el certificado CA raíz.

Registrar solicitud de certificacion

Basta con ir a el menu seleccionar certificados luego añadir y pulsar donde dice "Añadir solicitud de certificacion" , seleccionamos la propiedad de la solicitud si queremos que herede de una autoridad certificadora CA o no, luego hacemos elregistro de los datos que nos solicitan.

La creacion de las firmas a partir de la solicitud de las certificacion

Una vez hecho la solicitud del certificado, le damos le damos clik derecho a la solicitud y seleccionamos "Firmar", verificamos las propiedades del nuevo certificado y seleccionamos la autoridad certificadora CA que vamos a emplear para firmarlo.
seleccionamos las propiedades que queremos para nuestro nuevo certificado una vez hecho esto, nuestro nuevo certificado estara listo.

Exportar el certificado

Podemos exportar haciendo clik derecho sobre el certificado ya firmado, seleccionamos exportar y tenemos las opciones de exportar:

Solaris se certifica en nivel de seguridad EAL4+

2009-05-23T09:06:00.000-07:00

El sistema operativo de Sun Microsystems Solaris 10, con su módulo Trusted Extensions, ha obtenido la certificación Common Criteria para la Labelled Security Protection Profile (LSPP) con la Evaluation Assurance Level (EAL) 4+, que se traduce en uno de los niveles más altos de seguridad reconocido internacionalmente y que muy pocos sistemas operativos lo poseen. La certificación se aplica conjuntamente a las versiones preparadas para los microprocesadores SPARC y a las x86/64 de dicho sistema operativo. Los auditores canadienses también han incluido pruebas para varios niveles de seguridad del GUI de Gnome, ya que con frecuencia los sistemas de certificación sólo se han probado y certificado para el uso de línea de comandos.

Con anterioridad Solaris había recibido previamente la certificación EAL4+ para el Controlled Access Protection Profile (CAPP) y para Role Based Access Control Protection Profile (RBACPP) para el Solaris Trusted Extensions. El código del sistema operativo OpenSolaris no ha sido certificado todavía, aunque ya se le ha incorporado el código del módulo Trusted Extensions. Common Criteria publicada como norma ISO/IEC 15408:2005, es un procedimiento normalizado internacionalmente para evaluar la seguridad informática. La certificación EAL es generalmente un requisito previo para poder desplegar un producto de seguridad en las áreas del gobierno, en organizaciones financieras y los sectores de la asistencia sanitaria.

Fuente

Enmascarar Mac Address (Mac Spoofing)

2009-04-28T19:23:00.001-07:00

Voy Explicar como enmascarar nuestra Mac Address (Mac Spoofing) en varios sistemas operativos.

Linux:

1.- Abrir la Terminal y Teclear ifconfig, para listar nuestras interfaces de red y saber cual utilizar.

2.- sudo ifconfig [Interfaz] down, para desactivar la interfaz.
ejemplo: sudo ifconfig eth0 down

3.-sudo ifconfig eth0 hw ether [Mac Address], cambiamos la Mac address por otra
ejemplo: sudo ifconfig eth0 hw ether 00:00:00:AA:AA:AA

4.- sudo ifconfig [Interfaz] up, para activar o levantar la interfaz.
ejemplo: sudo ifconfig eth0 up

BSD:

Lo mismo vamos hacer para BSD solo que cambian un poquito los comandos.

ifconfig xl0 down
ifconfig xl0 link 00:00:00:AA:AA:AA
ifconfig xl0 up

Se repite lo pasos, se desactiva, se cambia la Mac address y se vuelve a activar o levantar.

Mac OS X:

Nota: si la versión es anterior a Tiger antes hay que aplicar un parche al kernel.

1.- sudo ifconfig en0 lladdr 00:00:00:AA:AA:AA

OpenSolaris

pfexec ifconfig -a
pfexec ifconfig wpi0 down
pfexec ifconfig wpi0 ether 00:00:00:AA:AA:AA
pfexec ifconfig wpi0 up

Nunca sabemos para cuando sea bueno que tengamos que spoofear nuestra Mac Address ya sea por diversos motivos, es por eso que les presento la forma de hacerlo para varias distribuciones.

VOSUG en el 1er Festival Abierto de Ciencia y Tecnologia Caripito 2009

2009-04-28T15:13:00.000-07:00

Hoy 28 de Abril inicia el 1er Festival Abierto de Ciencia y Tecnologia Caripito 2009, donde VOSUG (Venezuela OpenSolaris User Group) esta con su estan haciendo demostraciones de el sitema operativo OpenSolaris.

aqui les dejo algunas fotos...

VOSUG en el FLISoL Maturín 2009, Mejor imposible!

2009-04-28T14:13:00.000-07:00

El dia sabado 25 de Abril, se llevo a cabo en la ciudad de Maturin, el Festival Latinoamericano de Instalacion de Software Libre 2009, donde el Grupo de Usuarios OpenSolaris de Venezuela tuvo una representativa participacion. La convocatoria fue hecha a partir de las 8:30 am hasta las 4:30 pm, a pesar de que ese dia fue soleado y caluroso, ya había gente a las 7:00 am, esperando afuera de las instalaciones con gran entusiasmo.

La asistencia fue masiva, y supero las expectativas de los organizadores, nos conseguimos con muchisimas personas interesadas en OpenSolaris, las preguntas mas frecuentes fueron:

* Que diferencia hay entre Linux y OpenSolaris?
* Por que usar OpenSolaris?
* Como puedo participar en la comunidad?
* Cuanto recurso de hardware necesita OpenSolaris?
* Es difícil de instalar?
* Para que puedo usar OpenSolaris?

La instalacion de OpenSolaris con VirtualBox fue la favorita por los asistentes, ya que no tenian que particionar el disco duro, ademas de que solo tenian curiosidad por probar OpenSolaris, muchos comentaron que depende de eso verian la posibilidad de instalarlo nativamente.

VOSUG en Maturín, estuvo representada por:

Nombre	Rol
Jose Raul Salazar	Ponencia – Fotografias
	Copias de CD OpenSolaris 2008.11
Edgar Salazar	Ponencia, Fotografias
	Encargado de mercancia OpenSolaris
Jorge Salazar	Ponencia, Instalacion y Demostracion
Junior Sumosa	Instalación y Logística
Jesus Javier Salcedo	Instalación y Logística

Agradecimientos a las siguientes personas y organizaciones por su colaboración:

Dario Leon – Lider de VOSUG
Esteban Ramirez – Sun Microsystem
Samuel Persaud – Debian Venezuela
Leopoldo Marcano – Organizador del evento
Samira Khazmou – Organizador del evento
Frank Matinez – Apoyo en Stand
Sulay Flores – Apoyo en Stand
Instituto de Cultura del Estado Monagas

Algunas Fotos:

Fuente: www.vosug.org.ve

Respalda tu informacion de Gmail con Gmail Backup

2009-04-08T13:35:00.000-07:00

Estos días amanecí preguntándome ¿que seria de mi si perdiera mi información de mis emails?, cosa que considero bastante importante, he tenido amigos que han sufrido de ataques de un hacker y pierden toda su información por no tener una política o costumbre de respaldo (Copias de seguridad).

Para mi y para muchos que contamos con una cuenta en gmail tenemos una solución a la hora de hacer nuestros Backup en nuestra cuentas de correo.

GMail Backup es una herramienta gratuita y multiplataforma para realizar cómodamente copias de seguridad de los mails almacenados en la cuenta de correo electrónico de Google. Funciona tanto en Windows como en Mac y GNU/Linux, incluso puede ser ejecutado desde un terminal en modo texto o utilizando una interfaz gráfica sencilla, actualmente se encuentra en la versión 0.107 y todavía sigue desarrollándose para sus mejoras.

Como único requisito, el usuario necesita tener habilitado IMAP en la configuración de su cuenta de GMail. El formato en el que se guardan los correos es EML, y contiene tanto el texto del mensaje como los archivos adjuntos.

La aplicación se descarga en un paquete ZIP y al descomprimirlo nos encontramos con los dos ejecutables, uno para la herramienta en modo texto y el otro para la versión con GUI (interfaz gráfica de usuario). Si se opta por esta última sólo hay que ejecutar el archivo y esperar a que aparezca la ventana, rellenar todos los datos y comenzar el backup. En el caso de la versión en modo texto, al ejecutar el archivo también se deben especificar los datos referentes a la cuenta.

En caso de usarlo en GNU/Linux o Mac y querer ejecutar la aplicación en modo texto, este sería el comando para realizar un backup de la cuenta:

sh gmail-backup.sh backup directorio usuario@gmail.com contraseña AAAAMMDD AAAAMMDD

Evidentemente hay que sustituir "directorio" por el directorio en el que se desean guardar todos los correos, "usuario" y "contraseña" por tu nombre de usuario y contraseña en GMail. Especificando al final del comando dos fechas en formato AAAAMMDD, la primera de ellas actuará como fecha inicial y la segunda como final para realizar sólo copia de seguridad de los mails recibidos entre esas dos fechas.

Y el comando para realizar una restauración de los mails debe ser de la forma:
sh gmail-backup.sh restore directorio usuario@gmail.com contraseña

Los usuarios de Windows también pueden ejecutarlo en modo texto, usando los mismos comandos que en las versiones para GNU/Linux y Mac, pero quitando el sh inicial y cambiando la extensión del ejecutable por .exe, que es el nombre de los ficheros.

El programa crea un fichero llamado stamp en el directorio donde se guarda el backup, en el que anota la fecha en la que fue realizado por última vez, de modo que las siguientes veces sólo obtendrá los que todavía no hayan sido descargados.

GMail Backup está todavía en desarrollo, aunque ya llevan varias versiones pre-finales para pulir todos los detalles y conseguir un funcionamiento estable en los tres sistemas operativos.

>>Descargar Gmail Backup

Instalar y configurar Nessus en Ubuntu 8.10

2009-04-01T15:59:00.000-07:00

Nessus es uno de los scanners de vulnerabilidades más utilizados en el mundo, ya que no tiene costo por instalación y uso, y a la vez uno de los más respetados debido a la gran cantidad de información que es capaz de obtener de los sistemas que audita.

Originalmente fue desarrollado para funcionar únicamente sobre plataformas Unix, pero con el tiempo se abrió paso a la posiblidad de funcionar con la misma eficacia sobre sistemas Windows. Nessus es un software que trabaja en modo cliente-servidor. El servidor es quien se encarga de realizar todas las auditorías y el cliente es la interfaz por donde se le dan las indicaciones correspondientes, como por ejemplo IP o dominio de la máquina a escanear, tipo de auditoría, modo de informe, etc.

La ventaja es que se puede tener el... servidor montado en una máquina
Linux/Unix y el cliente se puede instalar en Windows.

Es una herramienta fundamental para todos quienes deseen darle un poco más de seguridad a sus sistemas ya que se encargará de decirnos la gran mayoría de problemas que tenemos, como explotarlos y mejor aún, como solucionarlos. Aunque
quizá el mayor inconveniente es que todos los resultados los muestra únicamente en idioma inglés, por lo que hay que conocer bastante bien a nivel técnico las definiciones informáticas pertinentes. De acuerdo a Ron Gula, Gerente General de Teenable Security, la empresa detrás de Nessus, el problema de implementar múltiples idiomas es el soporte en caso de problemas y además que se debiesen traducir los más de 20 mil plugins con los que cuenta este software. Por ahora no tienen intenciones de trabajar con otro idioma aparte de inglés, por lo que habrá que acostumbrarse.

Instalacion
Lo primero que tenemos que hacer, es instalar el cliente, el servidor y los plugins de Nessus.

para eso podemos hacer por consola

sudo apt-get install nessus nessusd nessus-plugins

o buscar por synaptic: nessus

nessus es el cliente, el nessusd es el servidor y nessus-plugins son los plugins que carga para realizar la auditoría.

Ahora lo que tenemos que hacer es crear un usuario para nessus para eso usamos el comando
sudo nessus-adduser

hacemos como nos sale aqui en la foto.

luego ejecutamos el demonio con
sudo nessusd-D

Listo ya pueden Usar Nessus.

Prey: Y rastrea tu computador robado

2009-03-25T18:20:00.000-07:00

El cóndor despliega sus alas

Prey es una pequeña y muy, muy simple aplicación que recolecta un lote información de tu computador, y la envía a una casilla de correo que hayas definido previamente. La idea es que la instales en tu laptop para que cuando llegue el día -- ojalá nunca -- en que desaparezca el tarro, cuentes con más información para rastrearlo, ya sea usando el IP, el nombre de la red WiFi a la que esté conectado, o bien la foto del impostor.

Prey es un script bash por lo que obviamente el código es abierto, y de hecho está licenciado bajo la licencia SRTCRMCUC -- que explico más abajo, pero es básicamente la GPLv3 con un añadido -- para que hagas lo que quieras con él. Debería correr en cualquier variante *NIX (Linux, Mac, etc), pero por ahora sólo lo he probado en Ubuntu Intrepid 64 bit y en Mac OS Leopard.

¿Qué información recoge Prey?

Información de red

La dirección IP pública y privada de donde esté conectado el PC.

El IP del gateway de la red que está usando para salir a Internet.

La dirección MAC de la tarjeta o controlador de red por el cual esté conectado a la red.

El nombre e ESSID de la red WiFi a la que esté conectado, en caso que lo esté.

Un listado de conexiones activas en el momento en que se ejecute el programa.

Información interna del PC

Cuánto tiempo lleva encendido el aparato.

Número de usuarios logeados.

Un listado con los programas en ejecución.

Un listado con los archivos modificados en la última hora (o el número de minutos que tú definas).

Información del ladrón

En caso que el PC tenga una webcam, una foto del impostor.

Un pantallazo del escritorio, para que veas qué está haciendo.

El color de los calcetines que está usando el tipo.

Bueeeno, esa última por ahora no. :)

Una vez que el programa hace la recolección te la envía por correo, y adicionalmente, si usas Linux puedes generar un cuadro de diálogo para jugar un poco con el infeliz. Puedes hacerle alguna pregunta, o amenazarlo o simplemente decirle que sus días están contados.

Finalmente puedes botarlo del servidor gráfico para joder con él aún más.

¿Cómo funciona Prey?

El proceso es el siguiente: cada cierto intervalo de tiempo (pongámosle, 10 minutos) el programa se ejecuta y revisa si en la configuración pusiste una URL de checkeo o no. En caso que no lo hayas hecho, o que lo hayas hecho y la URL sí exista, el programa hará el proceso de recolección y envío de datos. Si definiste una URL que no existe, el programa se apagará para volver a ejecutarse en 10 minutos más.

En otras palabras: puedes decirle a Prey que sólo te envíe la información cuando le dés el aviso (creando la URL de verificación que pusiste, después que te hayan robado el computador obviamente), o bien dejar ese campo vacío y que te mande la información cada vez que se ejecute. Si defines una URL, Prey no te enviará nada hasta que pongas algo ahí (lo importante es que tenga algo de texto, puede ser una letra o lo que quieras).

La idea es que tengas la libertad de definir que se ejecute y esté siempre enviando la información, o bien sólo después que te roben el computador (que es lo que yo haría).

Mas información sobre Prey

Descargar Prey

Fuente: Tomás Pollak

Los menores ignoran su grado de desprotección en Internet

2009-03-24T15:10:00.000-07:00

Pertenecer a una red social implica tener un perfil más o menos público donde hacer un diario sobre estados de ánimo, viajes, amigos... y completarlo con fotos, vídeos y comentarios.

La estructura de información que esto genera alcanza una magnitud de la que no todos los usuarios son conscientes: El 43% tiene configurado su perfil de forma que todo el mundo puede verlo. Estas sociedades cibernéticas han enganchado ya a casi la mitad de los internautas en España. Facebook, Tuenti, MySpace y compañía se han convertido en las redes sociales más demandada por sus casi ocho millones de usuarios para compartir o subir fotos (el 71% utiliza esta aplicación), enviar mensajes privados (62%), comentar fotos de amigos (55%) y cotillear (46%).

Los riesgos a los que están expuestos los usuarios de las redes, el 70% menores de 35 años, han sido recogidos en un estudio elaborado por la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Tecnologías de la Comunicación (INTECO), dependiente del Ministerio de Industria. Ambas organizaciones han querido alertar sobre los peligros en relación a la privacidad de datos personales y seguridad de la información en redes sociales y ofrecer algunas recomendaciones para todos los implicados.

"El 37% de los usuarios tiene más de 50 contactos, pero ¿cuánta gente tiene más de 50 amigos?" Enrique Martínez, director de Inteco, explica esto en relación al crecimiento exponencial de las redes, cuyos adeptos en todo el mundo aumentaron un 21% entre 2007 y 2008 hasta alcanzar los 272 millones. El control de tal número de usuarios es muy complicado, sobre todo porque dos de las redes de más éxito en España, Facebook y Tuenti, no llegan a los tres años desde su creación, y menos aún desde que realmente han comenzado a implantarse de forma masiva. Aún así, Artemi Rallo, director de la AEPD, resaltó durante la presentación del estudio que ya les ha llegado la primera denuncia por suplantación de personalidad en una red social, uno de los riesgos a los que pueden enfrentarse los usuarios. Este problema, afirmó Rallo, puede ser menos importante cuando se trata de personas famosas, pero se agrava en el entorno escolar.

Darse de baja también puede complicarse: "Así como el acceso es ciertamente fácil", apuntó Rallo, "la suspensión de la cuenta puede plantear confusión porque a veces puede no implicar la eliminación de toda la información del usuario".

Los menores de edad son los usuarios más activos de las redes. Y también los más vulnerables. Aunque el 77% tiene un perfil público, el 59% no sabe hasta qué punto lo es. Además, por ley, los menores de 14 años no pueden dar ninguna información y no existe ninguna forma en la Red para controlar efectivamente la edad de los usuarios.

La propiedad intelectual es también un asunto comprometido. En la mayoría de las redes, el contrato que se establece incluye la adquisición de los derechos de lo que en ella se publique, pero lo complicado y poco probable es que los usuarios lean este contrato: "A mí, que soy licenciado en Derecho, me llevaría unas tres horas leer el contrato detenidamente; al usuario medio de una red imagínese", dijo Rallo. Por esto ayer se instó a las redes a cambiar estas fórmulas de contrato por otras con un mensaje más comprensible y en el idioma correspondiente, ya que a veces sólo está disponible en inglés.

En el estudio se recomienda un mayor control de los datos personales, que en muchos casos quedan indexados en los buscadores por lo que son accesibles al total de los internautas. Defendieron también un cambio en las configuraciones de los perfiles, que en muchos casos se encuentran por defecto en el nivel de mayor publicidad.

La principal fuente de financiación de las redes sociales es la publicidad, que supone el 86% de sus ingresos. Éste es otro problema, porque en la mayoría de los casos la publicidad está demasiado contextualizada, y eso se debe a que el sistema indaga en el perfil del usuario para conocer sus gustos y preferencias a través de cookies.

El objetivo del estudio es evitar los posibles delitos como suplantación de personalidad, ciberacoso o introducción de virus, y alertar a los usuarios, directivos de las redes sociales, etcétera, sobre estos riesgos y las necesidades de adaptarse a los cambios sociales dentro de la Red.

Fuente: El Pais

BBC y su botnet: la caja de Pandora

2009-03-24T11:10:00.000-07:00

No se puede comentar mucho más de lo escrito durante estos días sobre el experimento de la BBC en usar una botnet en vivo para demostrar de dónde viene el SPAM. De hecho, Larry Seltzer lo resume bastante bien en su artículo en Eweek.

Como si fuera un programa de cámara oculta extrema, reporteros de la BBC junto a una empresa del país mostraron a sus telespectadores lo fácil que es tener una botnet y que consecuencias se pueden tener en lo relativo al envío de SPAM. Hasta aquí perfecto, puesto que el problema de las botnets (The Silent Threat) es algo de lo que hay que concienciar antes de que sea demasiado tarde.

El problema es cuando las máquinas usadas en la botnet, son máquinas de personas totalmente ajenas al experimento, y en la mayoría de los casos, que ignoran lo que están haciendo sus máquinas (bueno, ¡realmente cambiaron el fondo de pantalla de forma educada para avisarles del tema!!). Es decir, que es delito que una persona tenga una botnet para enviar SPAM, pero no es delito que la BBC lo haga. ¿No está la BBC situando un peligroso precedente para que otras personas se puedan escudar en el 'es que es para hacer el bien'? Mal también para la empresa de seguridad que le ayudó, puesto que sabía desde el primer momento que mucha gente iba a estar en contra, no sólo por ser ilegal, sino por ser poco ético.

Mucho más fácil hubiera sido si en vez de usar una botnet real, hubiera hecho una botnet con todos los ordenadores de sus empleados (en el trabajo y en casa), donde los empleados hubieran aceptado voluntariamente que se usaran sus máquinas para este programa de televisión, ¡pero nunca usando máquinas ajenas!

Es el mismo argumento que siempre se ha usado cuando alguna persona hacía una intrusión en una máquina por curiosidad, o por poner un FTP de Warez o por algo parecido, pero sin hacer daño real a la máquina. El afectado (comprometido) siempre puede decir que es verdad que los daños que ha realizado a su máquina es cero, pero para estar seguro de ello se ha tenido que gastar X dinero contratando a una empresa especializada que pudiera comprobar los pasos del atacante (o simplemente reinstalando la máquina y todos sus datos). Si yo hubiera formado parte del experimento de la BBC, ¿cómo puedo estar seguro de que no me ha dejado nada instalado, no me ha robado información o no me va a denunciar mi ISP por enviar SPAM? Al final el que juega con fuego se quema.

Fuente:
David Barroso
S21sec e-crime

Reseña personal de las II Jornadas de Ciencia Y Tecnologia del IUTC

2009-03-17T19:24:00.000-07:00

El 9 y 10 de Marzo se celebraron las II jornadas tecnologías en el IUT de Caripito, días de los cuales había mucho movimiento estudiantil lo cual fue bueno para las jornadas por que hubo suficiente asistencia para el evento, a las 8 y 40 aproximadamente estaría empezando el acto, unas palabras de algunos profesores para dar una introducción a esta jornada para luego dar pase a la primera ponencia que tenia como titulo, "OpenSolaris... Obtenlo, Usalo, Aprende y Compartelo", a cargó de esta ponencia estaba mi hermano Jorge F Salazar T. una ponencia muy interesante donde se reunían todas las bondades de este sistema operativo y de una grandiosa comunidad que esta detrás de ella. Luego de un refrigerio que estaría patrocinado por los organizadores del evento, cabe destacar que los organizadores del evento fueron los alumnos de la cátedra de Seminario que imparte la profesora Ing.Msc Samira Khazmou, vino la ponencia de mi amigo y colega Junior Sumosa que titulo su ponencia como "Diseño de Redes en Ambientes Simulados" donde destaco el uso de GNS3 como herramienta para el diseño logico de redes para su simulación por ultimo vino la ponencia encargada de cerrar el 1er día de las Jornadas, la cual estuvo titulado "Calentamiento Global" donde se hablo de este tópico y las palabras estuvieron a cargó de 2 alumnos de la cátedra de seminario de la carrera informatica de el IUTC los Bachilleres Anthony Rengel y Julio Leon.

Vino el 2do y ultimo día de las jornadas, empezó este ciclo de ponencias el Ing. Juan Carlos Montero quien estaría hablando de el Proceso enseñanza-aprendizaje haciendo uso de las TICs la cual también fue titulo de su ponencia, la verdad para esta ponencia de mi amigo Juan no pude estar ya que me encontraba en mis labores con Proyecto 2 en el Programa de Desarrolladores de Software, programa de capacitación que curso actualmente y que gracias a dios estoy terminando, disculpa esa Juan, luego vendría la ponencia de mi compañero de estudio y colega Samuel Persaud cuya ponencia tuvo como titulo ¿Que es el SWL?, esta no pude verla desde el comienzo por las misma razones por la cual no pude ver la de Juan Carlos, pero si llegue como a la mitad de la ponencia donde Samuel hablaba de algunas herramientas que se usan en Windows que en Linux existen su similar y mucho mejores. ¡Viva el Software Libre!, luego de esta estupenda ponencia vendría un merecido refrigerio, donde el publico también aprovechaba el tiempo libre para hacer sus votaciones para los mejores blogs realizados por los alumnos de la cátedra de seminario.

A las 11: 10 am de dia 10 aproximadamente estaría empezando mi ponencia titulada "Seguridad en Aplicaciones Web" para esta ponencia decidí no hablar técnicamente si no usar la analogía como herramienta para el entendimiento de este tema que si bien es cierto tiende a confundir un poco, para esto me enfoque en contarle una historia de un personaje autoctono de la isla de margarita quien había decidido empezar su negocio en internet por que veía las grandes ventajas que esta ofrecía. este personaje se llama cheguaco, y algo que me impresiono es que vi mucha gente que le dio curiosidad sobre cheguaco ya que era un señor de una edad algo avanzada que tenia conocimientos de internet, el chatea, navega y todo lo de mas de un usuario normal, pero el solo no puede hacer un comercio electrónico, el decide contratar a una empresa qué desarrolla comercio electrónico y monta su web www.chegucaco.com.ve el esta muy contento de su pagina web pero acabo de de unos meses empieza a reportar perdida el se daba cuenta que vendía mas sombrero y sin embargo el ingreso era mucho menor luego de unas averiguaciones se dieron cuenta que era posible mediante un una vulnerabilidad llamada Cross Site Scripting o también llamada XSS la cual su principal objetivo es la inyeccion de de código arbitrario echo en javascript para cambiar los los valores de los elementos de un website. Para el caso de cheguaco fue cambiar el precio de su sombrero y así mediante una historia fui contando y haciendo los ataque a la pagina de cheguaco, el segundo ataque que se le realizo a la pagina de cheguaco fue el de Phishing, y luego varios ataque de SQL Injection donde se demostró como podíamos robarnos toda la base de datos de la web de cheguaco, luego estuve hablando sobre OWASP e ISECOM, para luego concluir con una frase la cual era la siguiente "Un sistema informático es inversamente proporcional a la estupidez del administrador” y un vídeo sobre la película Matrix donde hice una analogía de que nos pasa cuando estamos inseguros e indefensos y cuando estamos realmente seguros y con procesos de contingencias. Luego de terminar el publico aplaudió mucho cosa que me agrado y después vino el ciclo de preguntas, me hicieron mis cuantas preguntas espero que les haya aclarado la duda a los que preguntaron y también hice mis pregunticas y los que acertaban se ganaban un cd de alguna distro de seguridad que lleve para ese día.

después de mi ponencia fuimos a almorzar, un almuerzo patrocinado por los alumnos de la catedra, la cual nos dio tiempo de hablar de tecnologías como los propios geek (jaja), echar bromas y tomarnos fotos.
luego de todo esto, vendria el segundo ciclo de ponencia pautado para las 2 pm, quien estaria a cargo el lic. Diego Ordaz cuya ponencia tendría por nombre "Desarrollo de Aplicaciones Java Utilizando la arquitectura MVC" donde estaría hablando de esta estupenda metodología de desarrollo de software. luego vendría la ponencia de dos Bachilleres de la cátedra de Seminario, Lorena Longar y José Balmore quienes hablarían de el Satélite Simón Bolívar, cuya ponencia estaba titulada " Satélite Simón Bolívar... Una realidad Tecnológica.

Después para culminar el acto, tomo la palabra la profesora Samira Khazmou para hacer unas rifas de cd y franelas, dar gracias a todos los que colaboraron con el evento y orar algunas palabras de cierre de las II Jornadas de Ciencia y Tecnología.

Algunas fotos del evento

Adobe parchea a medias su vulnerabilidad casi un mes después, mientras Foxit Reader lo soluciona en 10 días

2009-03-14T11:08:00.000-07:00

La ShadowServer Fundation advirtió el día 19 de febrero de una potencial vulnerabilidad en Adobe Acrobat Reader que podría permitir a un atacante ejecutar código arbitrario. Al descubrirse el problema mientras estaba siendo aprovechado activamente por atacantes, se convierte en un grave 0day. Adobe reconoció la vulnerabilidad y esperó al día 10 de marzo para publicar parche solo para algunas versiones. Foxit Reader, afectada por un problema muy parecido, necesitó solo 10 días para solucionar el fallo.

Es más que probable que el fallo fuese conocido incluso desde hace bastante más tiempo, y que Adobe tuviese constancia de su existencia. Pero solo lo reconoció el mismo día en el que la ShadowServer lo hizo público. El día 23, para complicar el asunto, aparece un exploit público para múltiples lectores PDF, que permite una denegación de servicio aprovechando los flujos JBIG2, base del problema de Adobe. Este ejemplo daba muchas pistas a los atacantes sobre cómo crear un exploit que
permitiese la ejecución de código.

El día 26 de febrero, SourceFire (dueños del IDS snort) publica un parche rápido para mitigar el problema. El día 27, Secunia avisa a Foxit Reader, otro popular lector de PDF, de que también es vulnerable a este problema. 10 días después Foxit publica una actualización y lo soluciona. Adobe ha necesitado más de 20 días para publicar un parche para sólo algunas de sus versiones. Y contando desde que lo reconociera, que no significa que no estuviese al tanto desde bastante antes.

Adobe lo soluciona un día antes del prometido, pero solo a medias. Publica la versión 9.1 para Windows, olvidando las ramas 8 y 7 para otros sistemas operativos.

Para colmo, recientemente se ha descubierto una nueva forma mucho más sencilla de aprovechar la vulnerabilidad. Un nuevo vector de ataque que permite incluso ejecutar código sin necesidad de abrir el archivo con el lector. A través del explorador de Windows, simplemente mostrando una carpeta que contenga un documento PDF especialmente manipulado (y basándose en el servicio de indexación, que debería estar activo), sería posible ejecutar código en el sistema.

Fuente: www.hispasec.com

El spam y el phishing, según Enjuto Mojamuto

2009-03-11T15:12:00.000-07:00

Hoy estuve revisando unos vídeos de Enjuto Mojamuto y me encontré con este, la verdad me reí mucho.

Aparte quería decirle que no sean víctimas de los spam y el phishing, por favor pueden tener cuentas de correos mas seguros, no utilicen lo que todo el mundo usa (hotmail) por que para allá van el 80% los spam, no nos convirtamos en adictos al clik, quiero decir con esto que no le hagamos clik a lo primero que veamos o la publicidad engañosa, como por ejemplo la que estoy seguro que muchos conocen que es la que dice "Eres el ganador de 10000 $" u otras que son bien famosas..!, otra acotación que quería hacer es que podemos no ser víctimas del phishing si tenemos muy claro que nunca, pero nunca nuestra entidad bancaria nos va pedir nuestros datos por un email emitido supuestamente por la entidad bancaria. recordemos que el phishing esta basado en la ingeniería social lo que traduce que usa técnicamente el engaño como método para obtener datos confidenciales de terceros.

preguntas:

¿Podemos evitar el spam?
R= si, si podemos evitarlo o por lo menos en su mayoría, no dejando nuestro email en todos lados, usando cuentas de correo que eviten los spam, dejando de ser clik adictos. recordemos que internet existen robots que van por todas las paginas guardando los email que se consigan y estos son almacenados para utilizarlos para enviar spam o publicidad no solicitada.

¿Podemos evitar el phishing?
R= el phishing no es nada mas que un engaño que se envía por email diciéndole al usuario que necesitan los datos por (mantenimiento, seguridad, actualización etc..), cuando el usuraio ingrese los datos esos datos van a la base de datos o correo de el atacante, una solucion para esto es verificar si el origen del enlace es el verdadero y tener en cuenta que nuestra entidad bancaria nunca pedira los datos por correos, claro en este caso para el phishing bancario.

¿Qué es un Boylover?

2009-03-11T14:48:00.000-07:00

El título de este post es la copia exacta de uno de los avisos que se suma a los cientos de miles que existen en la Internet.

En ellos se invita a los cibernautas a ingresar a foros o comunidades privadas, en los que se distribuyen e intercambian libremente material pornográfico infantil, también llamados “PTHC forum”. En dichos foros el único requisito para ser admitido es aportar "NUEVO MATERIAL", es decir, fotos o videos de niños teniendo sexo, los cuales nunca antes se hayan visto y sean inéditos. Y en este rubro, todo material amateur es altamente codiciado.

Una vez que el solicitante ha realizado su aporte y que éste ha sido “autenticado” por el moderador de dicho foro, es admitido como miembro pleno, teniendo la posibilidad de descargar (download) el material existente en dicho foro virtual, los cuales normalmente están cifrados o encriptados para "seguridad" de sus miembros.

Según investigaciones realizadas por la Red Peruana contra la Pornografía Infantil (Peruvian Net against Chile Pornography), en la que han participado diversos informantes de las ciudades más importantes del país, en el Perú existirían más de 10 mil personas pertenecientes a foros de este tipo.

Lo más preocupante de todo esto es que en dichos foros se distribuye material que ha sido producido recientemente, mediante cámaras digitales o por vía celular.
En los materiales que suelen intercambiarse en dichos foros se utiliza comúnmente a niñas (en un 80%) y niños (en un 20%), los cuales son violentados sexualmente por uno o varios adultos, hombres (en un 90%) y mujeres (en un 10%). Es importante indicar que, aunque en “apariencia”, las víctimas de tan espantoso delito parecieran estar conformes y felices, y se indique, por parte de los victimarios, que dichos menores realizan los actos sexuales explícitos de manera voluntaria, ello no es ni será cierto. Hay que recordar que la violencia en un acto no sólo debe entenderse como una agresión física, sino que en estos casos, el adulto victimario suele utilizar una violencia psicológica, ya sea por su condición de tutor del niño o niña que está violando o por la dependencia emocional o económica que exista por parte de la víctima hacia su agresor.

Hasta hace poco, la principal vía de intercambio de pornografía infantil por Internet era el ingreso a páginas Web que ofrecían tales contenidos. Hoy, si bien esta forma no ha disminuido, sí ha dejado de ser la principal vía para acceder a pornografía infantil, siendo superada por la comunidades y foros virtuales, que con ayuda de los correos electrónicos gratuitos (que hoy cuentan con mayor capacidad de almacenaje) y con los servicios de carga de videos y fotos “de forma anónima” que brindan empresas como megaupload o rapidshare, han convertido al Internet y al afán de lucro de estas empresas (las que sólo persiguen la venta de publicidad) en sus mejores cómplices.

En la actualidad, el “ingenio” de estos cobardes ha superado todo bloqueador y filtro existente, y los ha convertido en verdaderos terroristas cibernéticos, dotados de un manto de impunidad por su supuesto anonimato.

Queda entonces una gran tarea que realizar. Por un lado, las empresas que brindan los servicios de Internet, aquellas que ofrecen sus servicios de carga de imágenes y videos, las que ofrecen dominios gratuitos y las que brindan el uso de correos electrónicos gratuitos (Hotmail, yahoo, gmail, entre otros) deben entender que parte importante de su labor no sólo se limita a brindar un buen servicio, sino de dar seguridad a los usuarios impidiendo el uso de sus herramientas para la realización de crímenes tan abominables como la pornografía infantil y la explotación sexual comercial de niños, niñas y adolescentes. Por otro lado, los Estados deben unir esfuerzos en su lucha cotidiana contra estas redes, investigando y haciendo seguimiento a estos grupos para tratar de detener y encerrar a estos delincuentes. Del mismo modo, los usuarios deben convertir cada máquina, cada correo personal, cada nick, cada dominio, cada blog, cada espacio que posean, en una verdadera trinchera contra la Pornografía Infantil, denunciando cuanto espacio o foro de este tipo encuentren y dando a conocer el problema a todas sus redes de amigos y colegas.

Aquí toda persona que mantenga silencio ante este problema se convierte automáticamente en un cómplice de este delito. Cada hombre o mujer, padre o madre, hermano o hermana, abuelo o abuela, amigo o amiga que sea indiferente, está avalando el abuso sexual a un niño, niña o adolescente que bien podría ser su hijo o hija. Y es que este delito no es un tema exclusivo de organismos defensores de los derechos de niño, ni de las autoridades, ni de las entidades sociales, sino que es uno que requiere de nuestra atención y participación.

Seamos verdaderos soldados a favor de la niñez, no les demos tregua alguna a estas redes. Utilicemos todas y cada una de las herramientas que la tecnología nos da para enfrentar a estos seres que no guardan respeto alguno por estos niños, niñas y adolescentes que son utilizados para producir pornografía infantil. De nosotros depende, podemos ser la solución, pero si no actuamos, seremos cómplices del problema.

Fuente: nopornoinfantil
Por Dimitri N. Senmache Artola
Presidente de la Red Peruana contra la Pornografía Infantil

La nueva versión de Firefox corrige otras ocho vulnerabilidades (Thunderbird, olvidado)

2009-03-10T17:08:00.000-07:00

Apenas un mes después de corregir seis vulnerabilidades con la última 3.0.6, Mozilla lanza la nueva versión 3.0.7 de su navegador Firefox que soluciona otros ocho fallos de seguridad. Seis de ellos críticos.

La nueva versión de Firefox soluciona ocho vulnerabilidades aglutinadas en cinco boletines. Tres de estos boletines tienen carácter crítico (permite ejecución remota de código con solo visitar una página web), uno es considerado de alto riesgo y uno de carácter bajo.

Específicamente, cada boletín:

* Un problema de falsificación de URL usando caracteres de control invisibles.
* Se ha actualizado la librería PNG para solucionar riesgos de seguridad con la memoria.
* Riesgo de robo de datos a través de RDFXMLDataSource.
* Un problema con el recolector de basura podría permitir ejecución de código.
* Múltiples problemas de corrupción de memoria con evidencias de
posibilidad de ejecución de código.

Estos fallos, como de costumbre, también afectan al cliente de correo Thunderbird y SeaMonkey. Para los usuarios de Thunderbird, solo queda deshabilitar JavaScript para intentar mitigar solo algunos de estos problemas, o bien lanzarse a buscar las versiones en pruebas en los servidores FTP de la fundación Mozilla.

Mozilla todavía no ha corregido las anteriores vulnerabilidades aparecidas en febrero y que se supone deberían haber sido solucionadas con la versión 2.0.0.20 de Thunderbird. Incluso un mes después todavía no está disponible para descarga desde el sitio oficial (sigue la 2.0.0.19 disponible desde finales de diciembre). Ahora, anuncia que en una futura versión 2.0.0.21 (para la que no se indica fecha) se solucionarán también esta tanda de problemas.

Fuente: www.hispasec.com

II Jornadas de Ciencia y Tecnología - IUT Caripito

2009-03-10T03:17:00.000-07:00

Los días 9 y 10 de Marzo se estará llevando a cabo la II Jornadas de Ciencia y Tecnología del IUT Caripito, organizadas por lo estudiante de la cátedra de Seminario de Ciencia y Tecnología de la carrera Informática del IUT Caripito en conjunto con la Ing. Samira Khazmou quien es la tutora de dicha cátedra.

Para este evento fui invitado como ponente, invitación que confirme el día de ayer y donde asistiré en representación de la comunidad OpenSolaris y el Grupo de Usuarios OpenSolaris de Venezuela, para el evento he preparado una presentación titulada: OpenSolaris... obtenlo, usalo, aprende y compartelo. (estaré pendiente de publicarla luego). En dicho evento también estarán participando Junior Sumosa hablando sobre Redes y Edgar Salazar sobre Seguridad Informática, aunque estarán representando a otras organizaciones ellos también son miembros de VOSUG.

Luego les comentaré sobre la experiencia (espero publicar unas fotos), acá les dejo los afiches realizados por Samira para el evento.

Fuente: Jorge Salazar

Robo de Cookies con Wireshark

2009-02-10T16:34:00.000-08:00

En un articulo anterior escribí sobre wireshark, sobre todo información básica sobre este software sniffer cuya función no es mas que permitir ver, aun nivel bajo y detallado, qué está pasando en tu red.

pero en este articulo escribiré sobre alguna información sobre algunas cosas técnicas que deberíamos de saber para manejar este programa, aparte de hacer una demostración de Robo de Cookies.

La interfaz gráfica de Wireshark está principalmente dividida en las siguientes secciones (de arriba a abajo):

La barra de herramientas, donde tienes todas las opciones a realizar sobre la pre y pos captura.

La barra de herramientas principal, donde tienes las opciones más usadas en Wireshark.

La barra de filtros, donde podrás aplicar filtros a la captura actual de manera rápida.

El listado de paquetes, que muestra un resumen de cada paquete que es capturado por Wireshark.

El panel de detalles de paquetes, que una vez seleccionado un paquete en el listado de paquetes, muestra información detallada del mismo.

El panel de bytes de paquetes, que muestra los bytes del paquete seleccionado, y resalta los bytes correspondientes al campo seleccionado en el panel de detalles de paquetes.

La barra de estado, que muestra algo de información acerca del estado actual de Wireshark y la captura.

Interface: es la tarjeta de red que utilizaremos para realizar la captura de los paquetes.

Capture packets in promiscuous mode: opción bastante importante. Al estar seleccionada Wireshark captura TODOS los paquetes que la interfaz reciba/envíe. Cabe hacer una pequeña aclaración: cuando tu equipo está conectado detrás de un hub, la tarjeta de red recibe TODOS los paquetes que transmitan/reciban los equipos conectados al mismo hub. Esto es porque, cuando el hub recibe un paquete lo reenvía a todos los puertos conectados, y es el computador quien decide que hacer con ellos (si el paquete es para él, lo recibe; si el paquete es para otro equipo, lo ignora). Esto no sucede así cuando estamos usando un Switch, puesto que cuando usamos una red switcheada se verifica el destinatario del paquete, antes de enviarlo. Luego veremos cómo vulnerar una red switcheada, de momento prosigamos.

Limit each packet to: límita el tamaño máximo de cada paquete capturado.

Capture filter: aunque en la siguiente entrada aprenderemos a usar esta característica, no está de más decir que sirve para asignar un filtro a la captura. Los filtros son útiles para mostrar sólo la información deseada, por ejemplo: paquetes enviados por la IP XX.XXX.XXX.XX, o sólo paquetes HTTP, etc.

File: aquí especificamos el archivo donde serán guardados los paquetes capturados. Es posible además separar los archivos cada vez que alcancen un tamaño, o cada cierto tiempo.

Stop capture: nos sirve para detener automáticamente una captura después de ciertas condiciones (tiempo, tamaño del archivo de captura y número de paquetes).

En las opciones de visualización (Display Options), es posible configurar a Wireshark para:

Actualizar el panel de paquetes cada vez que se capture uno (Update list of packets in real time)
Realizar un scroll-down cada vez que se capture un paquete (Automatic scrolling in live capture)
Ocultar el diálogo de información de captura (Hide capture info dialog)

Por último, las opciones de resolución de nombres (Name resolution) le indican a Wireshark si debe o no intentar resolver las direcciones MAC, el nombre de red y nombre del tipo de transporte, de los paquetes capturados.

SmoothWall Express 3.0 ... Uno de los Mejores

2009-02-10T14:49:00.000-08:00

El objetivo es disponer de un cortafuegos mediante hardware ideal para un usuario doméstico. Se trata de que la instalación sea sencilla y funcione perfectamente desde el principio, con la configuración por defecto. Si necesitas adaptarlo más a tus necesidades, lo podrás hacer después de una forma sencilla, mediante tu navegador habitual. El cortafuegos será completo, en el sentido de que además del firewall propiamente dicho, dispondrás de un proxy (Squid), un IDS o detector de intrusiones (Snort), herramientas de administración, servidor DHCP, gestión de IPs dinámicas, conexión a servidores horarios, posibilidad de VPN (red privada virtual), etc, etc.

Si añado además que todo esto lo lograrás mediante un equipo Linux, es posible que te asustes y pienses que este proyecto excede tus posibilidades. Pero lo cierto es que no, porque no necesitas saber ni una palabra de Linux para que todo funcione al 100%.

Características del proyecto

Las posibles topologías y configuraciones de una red son casi infinitas, así que te anticipo que aquí me limitaré al caso más sencillo: tu PC viejo (cortafuegos) se conecta a Internet y tu PC nuevo se conecta al cortafuegos mediante un cable.

Materiales necesarios

Vas a necesitar:

Tu viejo PC: El mínimo recomendable es un Pentium (cualquier tipo de Pentium o AMD 586 o similares de Cyris o IBM, mejor con un procesador de 150 Mhz para arriba). En cuanto a RAM, cuanta más mejor, pero 32-64 MB sería el mínimo. ¿Disco duro? Ideal, más de 2GB (si es menor, menos sitio para ficheros de registro). Una unidad de CD-ROM facilita la instalación. No hace falta ratón. Teclado, tarjeta gráfica y monitor sólo hacen falta para la instalación, y pueden ser cualesquiera. Módem, sólo si te conectas a tu proveedor mediante uno. Tarjeta de red en el resto de casos.
Una segunda tarjeta de red: Para instalarla tu viejo PC debe disponer de una ranura PCI libre. Tu nueva tarjeta ha de ser compatible con Linux, pero eso no representa ningún problema, porque sirven prácticamente todas. En mi caso compré la más barata que encontré (10 euros), Made in China y de chip, en principio, desconocido (la caja sólo exhibía un nada tranquilizador “compatible con Windows XP”). Sin embargo el cortafuegos (es decir, Linux) la reconoció de inmediato como portadora de un chip Realtek totalmente compatible. En mi caso el único problema que encontré fue con las interrupciones; mi viejo equipo estaba cargado de tarjetas y tuve que retirar algunas y reubicar otras (ensayo y error), hasta que todo funcionó.
Un cable de red cruzado: Ojo aquí, porque no te va a servir el que viene con tu nueva tarjeta. Cuando se trata de unir equipo (viejo) con equipo (nuevo) necesitas que el cable sea cruzado, es decir, que los pines que “emiten” en uno vayan conectados a los que “reciben” del otro, y viceversa. En los envases de este tipo de cables suele figurar la palabra Crossover. Para que te hagas una idea, a mí el cablecito en cuestión me costó 12 euros, pero sin él no hay nada que hacer. Comprobarás que has acertado cuando, tras encender y unir ambos equipos con este cable, veas que se iluminan las lucecitas de ambas tarjetas de red. Sin este requisito previo es inútil intentar nada.
SmoothWall

Instalación

Si tu viejo PC arranca desde el CD (revisa la BIOS a ver si puedes ajustarlo) la instalación es coser y cantar. Si no es el caso habrás de generar disquetes de arranque y el asunto se complica un poco, aunque está todo perfectamente explicado en la documentación, tres pdfs muy recomendables en caso de problemas, pero en inglés. Por cierto, toda la instalación está en inglés, aunque prácticamente sólo necesitas elegir las opciones por defecto y aceptar todo. Aunque no distingas el inglés del chino, con las explicaciones y “cutre-fotos” que incluyo en el artículo tampoco deberías tener mayor problema.

Metes el CD y arrancas el equipo viejo. Al poco tiempo pantalla de presentación y a pulsar Enter. Se te va a avisar, por activa y por pasiva, de que el disco duro va a ser formateado y que puedes despedirte de cualquier dato que tuvieras en él. Si a estas alturas no tienes claro esto, mejor no sigas y olvides todo el asunto. Insisto: tras la instalación el viejo PC será un cortafuegos, y no un PC al uso.

El equipo se formatea, se crea el sistema de archivo linux, se instala lilo como gestor de arranque y se instalan todos los ficheros necesarios. Se pasa a buscar (Probe) la tarjeta de red del cortafuegos que usarás para conectar a ella tu equipo (el bueno, el que contiene tu sistema operativo y tus ficheros más queridos). Una vez detectada la primera tarjeta se te presenta la opción de aceptarla (OK) o seguir buscando (Skip) para elegir la segunda tarjeta disponible (en principio esto es indiferente y puedes aceptar la primera que se detecte).

Una vez elegida la tarjeta de red se te presenta la opción de configurar su IP y su máscara de red. Esto puede sonar complicado, pero resulta tan sencillo como aceptar las opciones por defecto y pulsar OK.

Finalizada la operación el CD se expulsa y el sistema te pide ser rearrancado.

Tras el rearranque, viene la fase de configuración.

Configuración

A continuación se te pregunta si quieres restaurar una configuración previa desde un disquete (No), el teclado a usar (es), y el nombre de host (también nos vale el propuesto, smoothwall). Si te conectas por un proxy aquí deben ir los datos (si no, en blanco y OK). Deshabilita RDSI (ISDN, en sajón) y también ADSL en mi caso (conexión a ONO por módem cable). Puede que aquí tengas que configurar la conexión que tú utilizas.

Lo más peculiar viene ahora, al elegir la configuración de Red. SmoothWall tiene un concepto un tanto “semafórico” de los colores de los interfaces de red. Así GREEN es el interfaz que configuraste en la etapa anterior, al que enchufarás tu equipo real. RED es el interfaz (la tarjeta) donde insertarás el cable por el que tu proveedor te conecta a Internet. YELLOW no te importa mucho ahora; corresponde a la llamada Zona Desmilitarizada (DMZ), donde se ubican los servidores (web, mail) que han de tener acceso desde la Red.

En nuestro caso, la configuración que nos interesa es GREEN + RED, así que hay que pasar a Card Assignments para detectar (Probe) tu segunda tarjeta, la que conectarás a Internet.

Ahora, a configurarla. Address Setting -> Red -> OK. En mi caso, en esta pantalla elegí DHCP, porque mi equipo recibe una IP dinámica por esa vía. Si la tuya es fija, selecciona la opción correspondiente (Static). El resto, queda tal cual.

Toca configurar el servidor DHCP (no el anterior, que era un cliente del de tu proveedor, sino el que dará una IP al equipo o equipos que enchufes al cortafuegos). Muchas casillas, pero basta seleccionar Enabled y dejar igual el resto. Observa que tu equipo (el real), o equipos, obtendrán direcciones entre 192.168.0.100 y 192.168.0.200 con esta configuración.

Se te van a pedir ahora tres nombres de login y tres contraseñas. Anótalas. Admin es el más importante, porque es el par login/password que te permitirá afinar la configuración a través de tu navegador web (sección siguiente). Root te permite acceder al cortafuegos vía consola de comandos Linux (requeriría volver a conectar monitor y teclado al cortafuegos, pero tranquilo: no lo vas a necesitar para nada). Por último, Setup te permite reconfigurar el cortafuegos desde consola (tampoco lo necesitarás prácticamente nunca; siempre puedes optar por reinstalar).

Se acabó lo que se daba. El sistema pide ser arrancado de nuevo. De hecho, puedes pulsar OK y desconectar teclado y monitor de tu viejo PC, reconvertido ya a cortafuegos. Salvo labores de chequeo, reinstalación o similares, no necesitarás conectarle teclado y monitor nunca más. Eso sí: asegúrate antes de que tu BIOS te permite arrancar sin teclado conectado, porque si no el sistema se puede quedar detenido y el cortafuegos no llegar a funcionar.

¿Has conectado el cable que une los dos PCs? Un extremo al equipo que vas a utilizar y el otro al interfaz que definiste como GREEN de tu nuevo cortafuegos. Al interfaz RED de éste conecta el cable de tu proveedor de Internet. Si dudas, puedes probar de nuevo cambiando los cables.

Puesta en marcha

Tu ordenador “bueno” tiene conectado en su tarjeta de red el cable de red que viene de tu flamante cortafuegos. El cortafuegos (tu caduco PC) recibe el cable del proveedor y por su segunda tarjeta conecta con el equipo bueno. Sólo el ordenador bueno necesita monitor y teclado. Enciende ambos equipos.

Lo más probable es que el equipo bueno arranque antes que el cortafuegos, por lo que es fácil que te aparezca la red como desconectada y no puedas visitar Internet hasta que el cortafuegos acabe de arrancar (se debe a que aún no dispones de dirección IP, que ahora te tiene que dar tu cortafuegos).

Pero, ¿cómo saber cuándo ha arrancado el cortafuegos, si ya no tiene monitor?. Fácil: por un lado, oirás un pitido compuesto de tres tonos; por otro, tu equipo “bueno” dispondrá de conectividad en cuanto el servidor DHCP del cortafuegos le dé una IP.

Obviamente esto debe suceder con independencia del sistema operativo de tu equipo “bueno” (en él puedes usar Windows, Linux o lo que quieras). Si no ocurre y sigues sin conexión a Internet, o bien el arranque del cortafuegos no se ha completado (necesitarás volver al principio, conectarle monitor y teclado e investigar qué ocurre) o bien la conexión entre ambos equipos no va según lo esperado (si las luces de ambas tarjetas de red -la del equipo nuevo y la del cortafuegos- funcionan prueba a intercambiar las conexiones en el cortafuegos. Si las luces de la tarjeta de red del equipo nuevo no encienden, probablemente falla el cable).

Si todo funciona según lo esperado y puedes conectarte a Internet sin problemas, acude a un servicio web de escaneo de puertos y comprueba que todos tus puertos (excepto el 8, 80 y 113 con la configuración por defecto), aparecen como Blocked, es decir, invisibles.

Si es así, enhorabuena: has completado el proyecto con éxito, pero aún puedes afinar más tu configuración como te explico en la siguiente sección.

Ajuste fino

Puede que no estés conforme con la configuración por defecto, que prefieras abrir o cerrar determinados puertos, poner en marcha tu proxy o tu detector de intrusiones, revisar tus ficheros de registro, ajustar la hora, instalar parches, etc, etc.

Si la instalación fue correcta, puedes hacer eso y más mediante tu navegador habitual, sin más que teclear la siguiente dirección:

https://192.168.0.1:441

Se trata de una conexión segura con tu cortafuegos. Acepta el certificado y teclea la contraseña que elegiste para admin durante la instalación. Te aparecerá la pantalla de bienvenida de tu nuevo cortafuegos.

Si observas bien, verás que se te indica que existen actualizaciones sin instalar. Para instalarlas pulsa la pestaña Maintenance. En el momento de escribir este artículo existen 8 actualizaciones disponibles. Pulsa sobre info en la primera de ellas y descárgala a tu PC. Puedes instalarla desde el mismo interfaz (Examinar -> Upload). Tras instalar la primera has de volver a arrancar el cortafuegos (no, no toques el botón de encendido del viejo PC; mejor usa la pestaña Shutdown y luego Reboot). Repite el proceso (incluido el rearranque) con las actualizaciones siguientes (siempre en orden consecutivo, de la 2 a la 8). Al finalizar, tu cortafuegos estará totalmente al día.

>>Descargar SmoothWall Express 3.0

Fuente: http://www.kriptopolis.org

Rompimiento remoto de contraseñas

2008-12-06T14:43:00.000-08:00

Hacking Etico y Rompimiento remoto de contraseñas (Password Cracking)

Este articulo lo escribí para el ezine del El ClanGT y ahora lo pongo aquí. Para continuar quisiera hablarle primero sobre el Hacking Etico por que si bien es cierto esta practica la quiero dar a ver desde este punto de vista!

Es interesante definir un par de figuras que se relacionan con el término de hacking ético: los hackers de sombrero blanco (white hat) y sombrero negro (black hat). Los hackers de sombrero negro son aquellos que intentan provocar un daño explotando una vulnerabilidad existente en un determinado sistema. Los hackers de sombrero blanco son aquellos que intentan mostrar el daño que causaría la explotación de una determinada vulnerabilidad en un sistema.

El hacker ético experimentado pasa largas horas comprobando las nuevas aplicaciones que aparecen en el mercado buscando vulnerabilidades y la forma de explotarlas. Por supuesto, los hackers de sombrero negro también hacen lo mismo, por lo que muchas veces se convierte en una competición a ver quién es capaz de descubrir antes una vulnerabilidad, un hacker de sombrero blanco o uno de sombrero negro.

Hackers éticos - Divulgar vulnerabilidades
La divulgación de las vulnerabilidades de un sistema representa la culminación del trabajo de un hacker ético, pero existe una opinión confrontada ante este aspecto.

Los profesionales de la seguridad informática opinan que si los hackers de sombrero negro ya conocen la vulnerabilidad, ¿por qué no publicarla? En caso contrario, estaríamos restringiendo el conocimiento a unos pocos y los sistemas de millones de empresas o personas podrían estar en peligro.

Además, si los chicos malos no conocen la vulnerabilidad, tarde o temprano la descubrirán sin que se haya publicado ninguna notificación oficial, así pues conocer los detalles ayuda más a los hackers éticos que a los hacker de sombrero negro. Esta es una premisa fundamental derivada de que una seguridad efectiva no se puede basar en el oscurantismo, sino en la concienciación.

Por otro lado, tenemos la opinión de los fabricantes de software, que ven la divulgación completa de los hallazgos desde un prisma completamente diferente, ya que el conocimiento público de vulnerabilidades podría peligrar las ventas de sus productos, por lo que propone que solamente los investigadores necesitan conocer los detalles de una determinada vulnerabilidad. Además, opinan que la divulgación completa solamente abre la puerta a mayores abusos y actos ilegales.

En su contexto ambas partes tienen razón, pero lo que si es cierto es que la concienciación en seguridad es la mejor arma con la que se puede combatir, y para ello el oscurantismo no puede existir. Desde el punto de vista de la auditoría de seguridad informática, la identificación y comunicación de vulnerabilidades debe ser realizada a todas las partes implicadas, siendo el primer paso para establecer una correcta política de seguridad informática.

Las grandes organizaciones utilizan determinadas técnicas para probar si sus recursos están seguros: contratan a personas que imitan los pasos de un ciber-atacante, y de ese modo descubren sus fallas para remediarlas antes de que los intrusos reales las aprovechen para ingresar a sus sistemas o tengan acceso a su información.

Por ejemplo, algunos de los métodos que se utilizan para comprometer una casilla de correo electrónico son:

• Probar passwords comunes, lógicos y los conocidos de antemano del objetivo en versiones evolucionadas.
• Probar passwords que el objetivo utiliza en otros lugares.
• Apelar al vulnerable factor humano.
• Grabar las pulsaciones del teclado mediante un keylogger de software o de hardware.
• Sacar claves almacenadas en un proveedor de Internet.
• Sacar claves en tránsito entre el servidor y la terminal (sniffing).
• Por retrieve: enviarla o desviarla hacia otro e-mail, al que sí tenemos acceso.
• Por explotación de una vulnerabilidad mediante exploits en la máquina del usuario o mediante shares.
• Por sustracción de claves en aplicaciones y servidores de terceros.
• Utilizando XSS o Cross Site Scripting.
• Entrar vía log de HTTP_REFERER directo a la casilla sin clave.
• Asalto físico a la máquina de la victima vía USB u otro puerto o unidad.
• Evasión de pregunta secreta u otro dato a través de SQL Injection.
• Métodos avanzados o complejos como Eavesdropping (ver el contenido de un monitor por emisión de radiación).

Videotutorial - Rompimiento remoto de contraseña

>>Descargar articulo

Un paseo por Wireshark

2008-10-12T22:06:00.000-07:00

Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, es utilizada como una herramienta didáctica para la educación. Cuenta con todas las características estándar de un analizador de protocolos.

Pagina web:
http://www.wireshark.org/

Descargar:
http://www.wireshark.org/download.html

Instalacion :
Si estamos en linux nos bastaría con ejecutar este comando por consola.
usuario@Usuario1:~$ sudo aptitude install wireshark

una vez que instalemos wireshark podemos utilizarlo debemos de elegir el que sale con la opción (as root) ya que nos dará permiso para escoger con que interfaz trabajar.

Para capturar paquetes directamente de la interfaz de red, generalmente se necesitan permisos de ejecución especiales. Es por esta razón que Wireshark es ejecutado con permisos de Superusuario. Tomando en cuenta la gran cantidad de analizadores de protocolo que posee, los cuales son ejecutados cuando un paquete llega a la interfaz, el riesgo de un error en el código del analizador podría poner en riesgo la seguridad del sistema (como por ejemplo permitir la ejecución de código externo).

La funcionalidad que provee Wireshark es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.

Caracteristicas importantes de Wireshark

Mantenido bajo la licencia GPL
Trabaja tanto en modo promiscuo como en modo no promiscuo
Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa)
Basado en la librería pcap
Tiene una interfaz muy flexible
Capacidades de filtrado muy ricas y frescas
Admite el formato estándar de archivos tcpdump
Reconstrucción de sesiones TCP
Se ejecuta en más de 20 plataformas
Es compatible con más de 480 protocolos
Puede leer archivos de captura de más de 20 productos

¿Quien soy?

2008-10-12T18:30:00.000-07:00

Mi nombre es Edgar Salazar, tengo 22 años, nací en Caracas y actualmente resido en la ciudad de Maturín, Edo Monagas, Venezuela. Soy T.S.U. en Informática egresado del Instituto Universitario de Tecnologia Caripito y del el Programa de Capacitación denominado: Desarrollador de aplicaciones E-Business (auspiciados por el Ministerio del Poder Popular para Ciencia y Tecnología (MCT) e IBM de Venezuela, S.A.), en estos momentos estoy estudiando Ingeniería en Sistemas en la Universidad Nacional Abierta U.N.A. y Culminando un Diplomado de Telecomunicaciones y Control en el Instituto Universitario Politecnico “Santiago Mariño” .

Desde hace ya un tiempo he tenido mucho interés en lo que respecta a la Seguridad Informática, es uno de los temas que me apasionan, para el 15 de septiembre de 2008 me certifique con la empresa ITelligence de Venezuela C.A, como Especialista en Seguridad Informática, actualmente soy miembro de la comunidad de DragonJar donde pienso escribir algunos artículos para el e-zine de esa comunidad; mi perfil tecnológico lo enfoco mas que todo a la Seguridad Informática aunque tambien tengo interes por la programación de aplicaciones web , aplicaciones stand alone, el diseño y la administración de base de datos.

Para futuro algunas de mis metas son Hacer otros cursos en el área de Seguridad Informática, obtener el titulo de Ingeniero además certificarme Cobit y Cisa con Isaca ó Cissp con Isc².

Mis objetivos con el blog son brindar información útil y relacionarme de alguna manera con las personas interesadas en la Seguridad Informática, la programación, el Software Libre y el uso de tecnologías emergentes.

>> Descargar Curriculo.

Entrevista a Sebastián Bortnik

2008-10-06T10:58:00.000-07:00

Hoy revisando algunos vídeos en youtube me conseguí con una entrevista que le hicieron a Sebastián Bortnik, un argentino Especialista en Seguridad Informática, me pareció interesante colocarla ya que habla de algunos conceptos básicos sobre algunos códigos maliciosos (Virus, Caballo de Troya, Gusano etc...), como también sobre Spamming y algunos tips de seguridad muy útiles para ponerlos en practica.

Entrevista a Sebastián Bortnik

1/4

2/4

3/4

4/4

nUbuntu

2008-09-02T10:47:00.001-07:00

Que es nUbuntu?

nUbuntu o Network Ubuntu es un proyecto para coger la distribución Ubuntu existente y reconvertirla en un LiveCD e instalación completa con las herramientas necesarias para realizar pruebas de penetración en servidores y redes. La idea principal es conservar la facilidad de uso de Ubuntu, mezclándola con las populares herramientas para prueba de penetración, además del uso para examinación de redes y servidores.

nUbuntu, aunque sigue funcional y simplista, para acelerar el rendimiento general de la distro usa el ligero gestor de ventanas Fluxbox. Por ello, es una distribución de escritorio para usuarios avanzados de Linux.

La distro incluye algunos de los programas de seguridad para Linux más usados, tales como Ethereal, nmap, dSniff, y Ettercap.

El 18 de diciembre de 2005 nació nUbuntu Project y apareció la primera versión de nUbuntu: Testing 1.

Actualmente se encuentra la version nUbuntu - 8.04

El objetivo principal de nUbuntu es crear una distribución que se deriva de la distribución Ubuntu, y añadir paquetes relacionados con la seguridad de ensayo, así como eliminar paquetes innecesarios.

Pagina oficial de nubuntu
http://www.nubuntu.org
Descarga
http://www.nubuntu.org/downloads.php

Algunos de los principales paquetes

Bluetooth Audit
Blue Snarfer
ObexFTP
Redfang
Asleap
Cisco Exploiter
Genkeys
Yersinia
Blind SQL Injection
HTTP SQL Bruteforce
SQL Inject
DNS Enum
Finger Google
Google Mail Enum
GooScan
Google Search
p0f
NBTScan
Samba Enum
Relay Scanner
SMTP Vrfy
SNMP Enum
ISR Forms
List URLs
Metasploit
ExploitTree
Autopsy
Foremost
RainbowCrack
Bkhive
Hash Collision
John
Ophcrack
Samdump2
coWPAtty
THC PPTP
Amap
Nmap
Onesixtyone
PBNJ
Driftnet
Wireshark
Dsniff
Ettercap
ARPSpoof
DNSSpoof
Kismet
Aircrack-ng
Void11
Hotspotter
More...

Videos Relacionados

2008-08-12T12:28:00.000-07:00

REMOVE - Seguridad de la informacion

Hackers: - Seguridad de la informacion

Robo de Targeta de Credito - Seguridad de la informacion

Seguridad Informática y Anti-Hacking (1 de 2)

Seguridad Informática y Anti-Hacking (2 de 2)

Nmap

2008-06-25T19:18:00.000-07:00

Que es Nmap?

Nmap es un escáner de puertos con el cual podremos comprobar los puertos abiertos de un determinado sistema.

Pagina Oficial de Nmap
http://insecure.org/nmap

Descarga
http://insecure.org/nmap/download.html

Por que es tan importante una herramienta de este tipo?

Veamos de forma más especifica a nuestra herramienta Nmap , en donde el uso de este tipo de herramientas radica simplemente en el estudio de la seguridad de una determinada red o equipo.

Sea de la forma que sea utilizado para un buen o mal fin, siempre se tratará de realizar una serie de pruebas con el afan de obtener datos precisos acerca del objetivo. Tratémoslo pues desde este punto, ya que puede servirnos también para protegernos, que es lo que normalmente se conoce como defensa.

Las metodologias para la preparacion de un ataque puden ser:

Realizar un barrido de una máquina o una red elegida como objetivo, observar que servicios ofrece, que sistemas operativo son los que implementan dichos servicios y trabajar sobre alguna vulnerabilidad conocida en cualquiera de ellos.
Realizar un barrido de cualquier red o máquina buscando un servicio o un sistema operativo (esto incluye la comprobacion de la version) de un servicio del que se conoce una vulnerabilidad.

Por ello, para un administrador preocupado por la seguridad de su sistema es importante realizar escaneos periódicos de su red, y buscar vulnerabilidades antes que lo hagan otros.

Trabajando con Nmap

Comenzamos con un escaneo basico.

Simple escaneo con Nmap

shimomura@shimomura-laptop:~$ nmap 200.90.18.210

Starting Nmap 4.53 ( http://insecure.org ) at 2008-06-25 23:20 VET
Interesting ports on 200-90-18-210.genericrev.cantv.net (200.90.18.210):
Not shown: 1637 closed ports, 72 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
53/tcp  open  domain
80/tcp  open  http
111/tcp open  rpcbind
113/tcp open  auth

Nmap done: 1 IP address (1 host up) scanned in 10.754 seconds

Resultados

Starting Nmap 4.53 ( http://insecure.org ) at 2008-06-25 23:20 VET
- Version de Nmap, sitio de descarga, hora

Interesting ports on 200-90-18-210.genericrev.cantv.net (200.90.18.210)
- IP de chequeo

Not shown: 1637 closed ports, 72 filtered ports
-Puertos cerrados que encontro y puertos filtrados

PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
-Indica los puertos que se encuentran abiertos

Nmap done: 1 IP address (1 host up) scanned in 10.754 seconds
-Cierra el informe diciendo que reviso una IP Address en tantos segundos.

Trabajando Nmap en un Entorno Visual

El entorno grafico es sin duda mas atractivo, y por supuesto no es necesario memorizase los comandos, para este caso practico se utilize el Zenmap.

Algunos Comandos de Nmap

# nmap IP
[conocer que puertos tiene abiertos esa IP]

# nmap -O IP
[Conocer que tipo de sistema operativo, esta corriendo el host al que le realizamos el scan, agregar el parametro -O a el comando
nmap.]

#nmap -sP IP-255
[En una red, 192.168.0.x, y queremos conocer que hosts se encuentran activos, fácilmente, lo podemos saber con nmap, esto lo podemos conocer y seria como un ping scan o escaneos mediante rangos IP.]

#nmap -p 25,53 -sX -P0 -D 1.2.3.4,5.6.7.8IP
[realiza un “Stealth Xmas Tree scan” (-sX) hacia el host 192.168.0.1, en los puertos 25(SMTP), 53(DNS), le indica al nmap que no genere pings hacia el host, y engaña al host (-D, Decoy), haciéndole creer que los scans se están generando desde los hosts 1.2.3.4 y 5.6.7.8.]

#nmap -sX -O IP -oN scanresult.txt
[Para hacer un stealth scan del tipo Xmas Tree, también deseamos conocer que sistema operativo esta corriendo el host de destino, y además podemos guardar el resultado de este scan en un archivo llamado "scanresult.txt"]

Videos

2008-06-25T17:35:00.000-07:00

Sql Injection en php Nuke

Vulnerabilidad Sql en ASP

Nmap- Escaneando Puertos

Un paseo por Wireshark

SQL Injection

2008-03-05T14:47:00.000-08:00

La inyección de código SQL pertenece al tipo de ataques de validación de entradas del usuario.Probablemente es una de las vulnerabilidades Web más importante de la historia. Se encuentra en un gran número de aplicaciones web y su potencial destructivo es enorme.

El motivo de que esté tan extendido este tipo de errores reside en la falta de concienciación de seguridad de los programadores. Los programadores principiantes (y no tan principiantes) descuidan el código por desconocimiento, descuidos o por propia comodidad.

La lista de aplicaciones vulnerables a SQL injection es extensa, incluyendo tales como PHPNuke, PhpMyadmin, Moodle, WordPress, vBulletin, PhpBB, XOOPS, PostNuke... y muchas más.

Por tanto es imprescindible para todo programador de Web y BBDD adquirir conocimientos de seguridad antes de iniciarse al desarrollo de tales aplicaciones.

Alcance de la vulnerabilidad

Hemos comprobado cómo la inyección SQL puede burlar una identificación. Hemos visto únicamente la punta del iceberg, el potencial de esta vulnerabilidad asciende al desastre total.

¿qué peligros supone para el sistema vulnerable?

Dependiendo de la configuración del servidor y del gestor de base de datos usados, las formas de explotarlo por lo general son mucho mayores.

Inyección de sentencias múltiples

En vez de introducir hack' or '1'='1 se podría introducir algo como hack' or '1'='1'; DELETE ALL TABLES;---

De esa forma estamos terminando una consulta con el punto y coma ; y lo que venga después se interpreta como una nueva consulta.

Al final escribimos --- porque así lo que viniese después en la consulta original se interpretaría como comentario, pues los tres guiones se utilizan para comentar código, de forma que no se interpretaría y el intérprete SQL no devolvería ningún error.

Ejemplos de ataques :

-Obtención de la base de datos completa usando sentencias SELECT

-Modificación o inserción de datos usando INSERT o UPDATE

-Borrado de la base de datos usando DELETE

-Ejecución de comandos del sistema operativo usando EXEC master.dbo.xp_cmdshell por ejemplo, el valor de pass sería pass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe dir c:'--

-Apagado remoto del servidor pass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe shutdown'--

Asi funciona la inyeccion SQL

Técnicas avanzadas de inyección sin comillas

No hemos profundizado en inyección SQL básica, y lo haremos menos aún en técnicas avanzadas. Pero es importante saber que existen para poder protegerse. Las comillas no son la única forma de inyección de código SQL. Comentamos a continuación otros métodos a tener en cuenta, así como de evadir los filtros de comillas de la aplicación web

Sentencia LIKE

SELECT user FROM table WHERE apellido LIKE '$ape1'

 Introduciendo en ape1  los caracteres %% obtendremos todos los usuarios

Funcion CHAR()

 Esta funcion en el interprete SQL se transforma en un valor ASCII. Asi  CHAR(0x27)

se convierte en una comilla simple una vez que la aplicación web envia la consulta a la base de datos. Un filtro centrado en las comillas podrá ser evadido de esta forma.

Codificación URL y Unicode

Uniendo distintos tipos de codificación y funciones SQL con imaginación también se pueden evadir los filtros de seguridad. Es igual poner CHAR(0x27) que poner cH%41r(0x68-0x41) .

Comentarios: /* # --- para finalizar la sentencia

Funciones de cadenas: Los ejemplos siguientes son semánticamente idénticos

  - file.php?op=add   - file.php?op=HEX(2781)  - file.php?op=REVERSE(dda)   - file.php?op=LEAST(0X6d75736963, 0x6e75736963)   - file.php?op=GREATEST(0x61, 0x6d75736963)

Blind Sqlinjection ( Inyección SQL a ciegas)

Un administrador desactiva SHOW_ERRORS y SHOW_WARNINGS para evitar mostrar información sobre posibles errores provocados en el interprete SQL. Esta información se usa habitualmente para conseguir información sobre la base de datos a atacar. Las técnicas de inyección a ciegas permiten ataques sin necesidad de esta información.

Una iyeccion SQL en ejecucion
http://youtube.com/watch?v=7a32B4QO6u0

Localizando vulnerabilidades de inyección SQL en nuestro código fuente

- No hay duda de que la mejor manera de evitar vulnerabilidades SQLinjection es escribir el código cuidadosamente, sin prisas, deteniéndose a pensar antes de escribir una línea dudosa, desconfiar de cualquier entrada del usuario, dedicando el tiempo que sea necesario hasta asegurarse de ello. Dedicaremos posteriormente un apartado a aprender a evitar la inyección SQL.

-Aún así, es muy difícil desarrollar una aplicación segura a la primera. Ni siquiera las grandes aplicaciones escritas por programadores expertos están libres de fallos. La falta de tiempo y el número de programadores implicados en la aplicación son factores habituales que juegan en contra de la seguridad. Por este motivo son necesarias las auditorías de código, para localizar vulnerabilidades en el código.

- En general, la auditoría de código se considera la tarea más difícil y compleja a la que puede enfrentarse un programador. Actualmente existen empresas de seguridad informática que ofrecen servicios de auditoría de código a precios extremadamente altos, dependiendo de la aplicación. Sin embargo, en lo que respecta a la inyección SQL, la labor es mucho más fácil que con otros tipos de vulnerabilidades.

- La auditoría puede realizarse manualmente o mediante herramientas existentes para tales fines.

Auditoría de código mediante herramientas

- Ofrecen resultados satisfactorios en la detección de vulnerabilidades fáciles de identificar, y cuando nos enfrentamos a una inmensa cantidad de código, usar estas herramientas nos ahorrarán mucho tiempo.

- Sin embargo hay muchos errores de lógica que estas herramientas son incapaces de hallar

- Herramientas de auditoría de inyección SQL tenemos Acunetix Web Vulnerability Scanner y Netcraft, ambas de pago pero con versión de demostración de 30 días.

Iyeccion SQL
http://youtube.com/watch?v=3KcpWJD7f84

Seguridad contra SQL injection

1. Magic_quotes Es una variable que se encuentra en el fichero .ini de configuración de PHP. Cuando su valor es On, todas las entradas por parámetros sufrirán la adición de la barra invertida delante de la comilla simple.

Es lo mismo que realiza la función addslashes.

Si entra user=pe'dro se convertirá en pe\'dro , de forma que el interprete SQL no tomará la comilla como parte sintáctica, sino como dato carácter.

La función inversa es stripslashes.

Estas prácticas son una medida de seguridad habitualmente recomendada por autores de código.

Sin embargo, el autor de este curso NO ACONSEJA SU USO, pues a menudo lleva a errores una mala gestión de las barras.

En su lugar se propone usar la siguiente función.

2. Mysql_real_scape_string( $cadena)

Evita todos los caracteres especiales de la $cadena argumento, teniendo en cuenta el juego de caracteres usado en la conexión, de forma que sea segura usarla con Mysql_query.

Coloca barras en los siguientes 7 caracteres:\x00 \n \r \ ' “ \x1a que se consideran peligrosos pues pueden ser usados para varios tipos de ataques.

La función retorna la cadena con barras, pero la variable original $cadena entrada no se modifica. Algo parecido a esta función se puede realizar colocando comillas dobles de la forma $sql=”SELECT * FROM tabla WHERE usuario =' “ $_POST[“usuario” ] ” ' “;

3. Delimita siempre los valores en las consultas.

Aunque el valor de tu consulta sea un entero, delímitalo siempre entre comillas simples. Una sentencia del estilo

    SELECT  user FROM table WHERE iduser= $id    es mucho más fácilmente inyectable que
SELECT  user FROM table WHERE iduser= ' $id '

Un ejemplo vulnerable de este tipo lo hemos visto en el código de SEDA 1.0 en unos de los apartados anteriores.

4. Verifica siempre los datos que introduce el usuario

Si esperas recibir un entero, no confíes en que lo sea, mejor veríficalo con is_int(). Igualmente verifica si es un long con is_long(), o un char, un varchar, o cualquier tipo con gettype(). Si lo prefieres también puedes convertirlo al tipo de dato que esperas con intval() ó settype().

Comprueba también la longitud de las cadenas con strlen() o su formato con strpos(). Con esto evitarás posibles técnicas avanzadas de inyección SQL.

5. No pierdas el tiempo aplicando las reglas anteriores

Es muy pesado programar vigilando y revisando constantemente cada variable, cada tipo, cada caracter...Mejor create tus librerías propias, una clases que actúen como capa de abstracción de todas estas ideas necesarias a tener en cuenta constantemente. Programarás más rápido, evitarás descuidos y no importa si después de vacaciones no recuerdas estas técnicas, no tendrás que volver a repasarte todo lo que ya aprendiste, simplemente usar la seguridad que ya te programaste.

6. PEAR Package DB - Paquete Bases de Datos PEAR

He querido retrasar la presentación de esta herramienta hasta el final del capítulo de Inyección SQL. El motivo es que cuando la veas, seguramente te preguntarás por qué has estado empleando tanto tiempo aprendiendo técnicas y reglas para escribir código seguro. El paquete DB del grupo PEAR va más allá de la seguridad. Es una capa de abstracción para bases de datos, con la cual no tendrás que preocuparte más por nada de lo que has visto en este curso. El inconveniente es que tendrás que depender siempre de sus paquetes. Pero la ventaja es la despreocupación.

Gambas, un entorno realmente productivo.

2008-02-13T17:57:00.000-08:00

Gambas es un lenguaje de programación libre derivado de BASIC. Es similar al producto de Microsoft Visual Basic y se distribuye con licencia GNU GPL.
Aunque desde otro punto de vista, está muy inspirado también por Java.
Permite crear formularios, botones de comandos, cuadros de texto o enlazar bases de datos como MySQL, PostgreSQL o SQLite.

Es una herramienta sencilla e interesante para quienes les gusta la programación visual o gráfica.

Gambas es un entorno de desarrollo integrado para la creación de todo tipo de aplicaciones sobre sistemas GNU/Linux. Basado en el lenguaje de programación BASIC, ofrece todas las facilidades para generar aplicaciones de todo tipo:

• Aplicaciones de texto
• Aplicaciones gráficas basadas en GTK+/Gnome y QT/KDE
• Servicios Web
• Gestión de bases de datos: MySQL, PostgreSQL, Firebird, SQLite, ODBC
• Redes: sockets, HTTP, FTP
• Trabajo con XML y XSLT
• Diseño gráfico en 2D y 3D: SDL, OpenGL
• Empaquetado y despliegue sencillo de aplicaciones en diferentes distribuciones
• Internacionalización: Soporte integrado de traducción de aplicaciones

Un entorno realmente productivo

Gambas aporta un entorno RAD, desarrollo rápido de aplicaciones, el cual permite el diseño rápido y efectivo de todos los elementos de la interfaz de usuario: formularios, menúes, iconos y cualquier otro elemento necesario.

El mismo entorno aporta un editor con resaltado de texto y autocompletado de código, que simplifica el acceso a toda la funcionalidad de Gambas.
El asistente de empaquetado y distribución simplifica la tarea de crear paquetes deb y rpm para distintas distribuciones, el asistente de traducción facilita la internacionalización de aplicaciones, los controles se adaptan automáticamente a entornos de idiomas que se escriben de derecha a izquierda.

Gambas es un lenguaje totalmente orientado a objetos, que facilita la estructuración, escalabilidad y mantenimiento de grandes aplicaciones. Permite un control total de procesos, permitiendo el acceso a todas las utilidades de un sistema GNU/Linux y puede llamar a funciones externas de otras librerías escritas en C.

El depurador paso a paso integrado en el entorno y el veloz compilador a bytecode reducen de forma significativa el tiempo de diseño, programación y mantenimiento de aplicaciones. Así mismo, provee de sistema de acceso directo a servidores de control de versiones para la programación de aplicaciones en equipo y colaborativas.

Independencia del entorno gráfico

Gambas aporta dos componentes gráficos para trabajar con las librerías GTK+ y QT, las más utilizadas en entornos GNU/Linux. Ambos componentes disponen de la misma interfaz de programación, por lo cual un programa puede funcionar sobre ambas librerías sin cambiar una sola línea de código.

Más aún, los programas escritos con Gambas detectan el escritorio en ejecución (Gnome, KDE, Xfce...) y adaptan su juego de iconos para ofrecer una apariencia homogenea al usuario con independencia de su escritorio preferido.

Independencia del sistema de bases de datos

Gambas aporta un sistema de abstracción de conexiones a bases de datos mediante objetos que le permiten reutilizar el código para trabajar sobre los sistemas más populares de bases de datos: MySQL, PostgreSQL, FireBird, SQLite y a través de su componente ODBC con cualquier otro sistema de bases de datos en local o remoto.

La facilidad para cambiar de un sistema a otro sin modificar código, amplia las posibilidades de escalabilidad de su aplicación, según crecen sus necesidades.

El gestor de bases de datos integrado en el entorno de desarrollo simplifica las tareas de creación de bases, transferencia de datos entre distintas bases en procesos de migración, gestión de permisos de usuarios y generación automática de código para el despliegue de sus soluciones.

La herramienta para cualquier propósito y necesidad

Gambas permite crear servicios en segundo plano, aplicaciones gráficas de usuario y servicios Web, el uso de este entorno permite tener una base de conocimiento y código a ser reutilizada en cualquier situación y para cualquier necesidad. Basic es uno de los lenguajes más conocidos en el mundo lo cual garantiza la disponibilidad de programadores y la ayuda en su proyecto.
Gambas es extensible mediante componentes, los mismos componentes pueden ser creados y redistribuídos en Gambas para aumentar la potencia y la adaptación del entorno a sus necesidades particulares.

Gambas es software libre, lo que garantiza su mantenimiento y disponibilidad a lo largo del tiempo. Sus soluciones no quedarán limitadas en el tiempo por la decisión de otros proveedores. Únase ahora al grupo de empresas de desarrollo y programadores que han encontrado en el software libre su aliado ideal para ofrecer soluciones competitivas a bajo precio, sin costes adicionales en licencias para el cliente, con la flexibilidad, estabilidad, solidez y soporte del sistema operativo GNU/Linux a lo largo de todo el mundo, con la comunidad de desarrolladores global de mayores dimensiones en el planeta. Adapte el sistema a todas sus necesidades y a las de sus clientes, escale sistemas a cualquier tamaño sin preocuparse de las limitaciones de uso de versiones y coste adicional de licencias.

Componentes
• Un compilador.
• Un intérprete.
• Un archivador.
• Una interfaz gráfica de usuario GUI.
• Un entorno de desarrollo.

Desarrollador: Benoit Minisini
Última versión: 2.0.0 (2 de enero de 2008)
S.O.: GNU/Linux
Género: Lenguaje de programación
Licencia: GPL
En español: Sí

Mis documentos

2008-02-13T15:27:00.000-08:00

Guia de usuarios para programar en Ruby
Autor: Matz
Formato: PDF
Contenido: Programacion
Descargar Guia de Ruby

Para mas informacion
http://www.ruby-lang.org/es/

La Ingenieria Social
"Oportunidades que brindan las nuevas amenazas"
Autor: Maximiliano Visentini
Formato: PDF
Contenido: Seguridad Informatica
Descargar Ingenieria Social

Para mas informacion sobre el tema de ingenieria social
http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)

Criptografia y Seguridad en Computadores
Autor: Manuel José Lucena López
Formato: PDF
Contenido: Seguridad Informatica
Descargar Criptografia y Seguridad en Computadores

Redes de Computadores
Autor: José María Barceló Ordinas y Otros...
Formato: PDF
Contenido: Redes
Descargar Redes de Computadores

Contactame

2008-02-13T14:30:00.000-08:00

Si deseas comunicarte conmigo puedes enviarme un mensaje a mi correo desde el siguiente formulario, es importante que especifiques tu nombre y dirección de correo electrónico para comunicarme contigo luego, gracias.

Mis Videdos

2008-01-11T11:54:00.000-08:00

Mis Videos

Videos relacionados

Nombre:
Email:

Mensaje: