Encríptalo ahora no dejes pasar mas tiempo

El espionaje informático y el robo de datos corporativos son una realidad alarmante para cualquier negocio moderno. Las computadoras portátiles son robadas, las cuentas de almacenamiento en la nube se ponen en peligro, los empleados disgustados roban archivos vitales. Y con dispositivos modernos capaces de almacenar una gran cantidad de datos de misión crítica, la pérdida de una computadora portátil o teléfono puede tener implicaciones muy graves para cualquier negocio, perder secretos comerciales vitales como los diseños de un próximo producto, el código de una actualización de la aplicación.

Las directivas de contraseñas, el correo electrónico cifrado y firmado y los lugares de trabajo seguros son un buen comienzo para mantener seguros sus datos, pero para planear realmente en el peor de los casos, proceda con la idea de que perderá el dispositivo o incluso las contraseñas de una cuenta de almacenamiento. La mejor manera de hacer frente a esta eventualidad es implementar el cifrado en todos los dispositivos que utilice, desde cualquier PC de escritorio Windows XP que utilice hasta el nuevo Windows 8.1 Ultrabook al que está migrando su negocio, e incluso a los iPhones y Nexus 7.

La mayoría de los sistemas operativos modernos de telefonía y escritorio vienen con soporte incorporado para el cifrado por lo que es obligatorio encriptar todos los dispositivos de almacenamiento.

Recursos adicionales:

http://lifehacker.com/a-beginners-guide-to-encryption-what-it-is-and-how-to-1508196946

https://theintercept.com/2015/04/27/encrypting-laptop-like-mean/

 

Vulnerabilidad de evaluación de código remoto

 

La evaluación de código remoto es una vulnerabilidad que puede explotarse si el input del usuario se inyecta en un archivo o una cadena y se ejecuta mediante el parser del lenguaje de programación. Por lo general, este comportamiento no está previsto por el desarrollador de la aplicación web. Una Evaluación de Código Remoto puede llevar a un compromiso completo de la aplicación web vulnerable y también del servidor web. Es importante señalar que casi todos los lenguajes de programación tienen funciones de evaluación de código.

Una evaluación de código puede ocurrir si permite el input del usuario dentro de las funciones que están evaluando el código en el lenguaje de programación respectivo. Esto puede ser implementado a propósito, por ejemplo, para acceder a funciones matemáticas del lenguaje de programación para crear una calculadora, o accidentalmente porque no se espera la entrada controlada por el usuario del desarrollador dentro de esas funciones. Generalmente no se recomienda hacerlo. De hecho, se considera una mala práctica usar la evaluación de código.

Un atacante que es capaz de ejecutar tal falla suele ser capaz de ejecutar comandos con los privilegios del lenguaje de programación o el servidor web. En muchos lenguajes puede emitir comandos del sistema, escribir, borrar o leer archivos o conectarse a bases de datos.

Como regla general, debe evitar usar el input del usuario dentro del código evaluado. La mejor opción sería no utilizar funciones como eval en absoluto. Se considera que es una mala práctica y con frecuencia puede evitarse completamente. Tampoco debe permitir que un usuario modifique el contenido de los archivos que puedan ser analizados por los respectivos lenguajes. Eso incluye no permitir que un usuario decida el nombre y las extensiones de los archivos que él o ella podría cargar o crear en la aplicación web.

Recursos adicionales:

 

https://www.owasp.org/index.php/Direct_Dynamic_Code_Evaluation_(‘Eval_Injection’)

 

DDoS viejo pero eficiente

La historia con respecto al ataque DDoS contra Dyn DNS sin duda me llamó la mucho la atención. Dyn DNS proporciona servicios gestionados por DNS para sus clientes. Nombres familiares como Twitter, Github, Airbnb y Reddit parecían haber sido afectados. Se podría llegar a la conclusión de que eran clientes de Dyn DNS.

DDoS no es una nueva forma de ataque en sí mismo. Pero los métodos y estrategias alrededor de DDoS continúan evolucionando en la forma de ataques más grandes y orquestados. A menudo, la medida del nivel de sofisticación de un ataque DDoS viene en forma de rendimiento medido. Los detalles del ataque aún no se conocen en este ataque en particular.

Lo que me hace detenerme y reflexionar más en lo que respecta a este ataque y otros similares, es que Dyn DNS es un proveedor de DNS SaaS. Su trabajo principal es alojar y administrar servicios DNS para sus clientes. El impacto y el daño tiene atribuido a los diversos servicios de clientes Dyn. A medida que los atacantes evalúan sus objetivos, y las organizaciones corren hacia la proverbial nube por varias razones, introduce objetivos interesantes para los hackers.

Entonces, ¿qué puede hacerse? En el caso de este ataque y DNS, tener un servicio DNS secundario operando al mismo tiempo puede haber mitigado el impacto, incluso cuando el proveedor principal se cae.

Recursos adicionales:

https://www.incapsula.com/ddos/ddos-attacks/denial-of-service.html

http://ddos.inforisktoday.com/ddos-attacks-c-350

Principios de una buena arquitectura de seguridad

En este blog describiré algunos principios de una buena arquitectura de seguridad. Es muy importante poner bastante atención en la arquitectura debido a que en esta parte las empresas pierdes millones debido a malas prácticas de diseño y seguridad, estas son algunas de las sugerencias:

Establecer objetivos claros y definidos: Un modelo es un medio para un fin, no un fin en sí mismo. Comience por definir por qué lo necesita y quién lo utilizará. Sólo entonces podrá determinar el alcance, el tamaño, el contenido y la presentación. Los conductores y los beneficios pueden variar ampliamente. Pueden ayudar a organizar el trabajo, estandarizar las actividades, demostrar el cumplimiento, actuar como un dispositivo de venta para un proveedor, o simplemente servir como un ejercicio terapéutico para el compilador.

Pequeño es hermoso: Lo que usted lo está utilizando para, el punto entero de usar un modelo es definir y comunicar un sistema de hechos seleccionados, relevantes a un grupo específico de usuarios. Los detalles innecesarios deben ser filtrados u ocultos a la vista del usuario. La información transmitida debe ser lo más breve y simple posible para cumplir con los objetivos del modelo.

Un tamaño no se ajusta a todos: la gestión de seguridad moderna requiere una gama de diferentes modelos, cada uno con un propósito diferente. Pueden utilizarse para comunicar o evaluar controles, responsabilidades, actividades, servicios, tareas del proyecto o especificaciones. Diferentes modelos pueden ser vinculados o combinados, pero el contenido no se correlaciona perfectamente. Un modelo diseñado para un propósito u audiencia particular podría no ser apropiado para otro, aunque siempre hay excepciones.

Llámelo como quiera: no importa mucho si usa el término “modelo”, “marco”, “arquitectura”, “método” o cualquier otra cosa, aunque algunos términos son más pegajosos que otros. La arquitectura, por ejemplo, suena grandiosa y sugiere un modelo para construir algo. Pero es principalmente sólo una cuestión de gusto. Lo que realmente cuenta es cómo es percibido por los usuarios y otras partes interesadas.

Recursos adicionales:

https://www.oreilly.com/learning/security-architecture

https://spring.io/guides/topicals/spring-security-architecture/

Problemas y soluciones del manejo de la información

Los colegios y universidades almacenan datos de empleo, registros financieros, transcripciones, historiales de crédito, historiales médicos, información de contacto, números de seguridad social, etc. Aunque las instituciones de educación superior deben ser foros donde la información y el conocimiento se intercambian fácilmente, a veces el libre flujo de información no es intencional. Aquí hay algunas políticas y comportamientos que ponen en riesgo la información personal:

Descentralización administrativa

Cultura ingenua de la oficina

Datos no protegidos

Servidores no regulados

Políticas de privacidad poco sofisticadas

Uso inapropiado del SSN

Discos duros no borrados

Soluciones

Examinar regularmente las redes institucionales para obtener información confidencial, como números de seguridad social, grados e información financiera.

Retirar automáticamente los datos viejos de los servidores institucionales.

Establecer una fecha radioactiva, que es cuando la institución utilizó por última vez números de seguridad social como identificador

Crear acceso basado en permisos a los sistemas centrales

Establecer una política de retención y acceso a datos.

Coordinar las prácticas de privacidad y seguridad con un comité especial de profesionales de la seguridad de la información.

Actualice su política de privacidad para reflejar todos los problemas de privacidad que surjan.

Eliminar los números de la seguridad social de los registros oficiales cuando sea posible.

Físicamente destruir todos los viejos discos duros.

 

Recursos adicionales:

https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-isms

http://www.isaca.org/JOURNAL/ARCHIVES/2010/VOLUME-2/Pages/Developing-an-Information-Security-and-Risk-Management-Strategy1.aspx

 

 

Signos que tu computadora está infectada de malware

El creciente número de usuarios de Internet en todo el mundo ocasiona que mas hackers aprovechen nuestras computadoras. A medida que nos volvemos más dependientes del entorno electrónico, podemos ver claramente un crecimiento masivo de malware y actividades cibernéticas criminales en todo el mundo.

Con tantas maneras de acceder y explotar sistemas vulnerables, necesitamos asegurarnos de que somos capaces de reconocer una infección de malware para prevenir y defender nuestros sistemas. Porque es una batalla y debes estar listo.

Este artículo le mostrará cuáles son los principales síntomas de un sistema infectado de malware.

1. Lentitud
2. Pop ups
3. BSOD
4. Actividad en el HD sospechosa
5. Poco espacio cuando deberíamos de tener más.
6. Mucha actividad en la red cuando no la estamos utilizando
7. Nueva página de inicio en el browser
8. Programas no permitidos que inician automáticamente
9. Mensajes enviados a tus amigos sin tu autorización
10. Tu antivirus se encuentra deshabilitado y tú no lo desactivaste

Recursos adicionales:

http://www.lavasoft.com/mylavasoft/securitycenter/articles/how-to-detect-malware-infection

How to easily clean an infected computer (Malware Removal Guide)

Run Apache server using a high port

First of all we need to install Apache in our Linux server with the following commands:

wget http://www-eu.apache.org/dist//httpd/httpd-2.4.23.tar.gz
gzip -d httpd-2.4.23.tar.gz
tar xvf httpd-2.4.23.tar
cd httpd-2.4.23
./configure --prefix=/home/a01225953/apache2
make
make install
nano /home/a01225953/apache2/conf/httpd.conf

We configure the Apache server with the following port:

/home/a01225953/apache2/bin/apachectl -k start

And finally we can see that our Apache server is running using netstat command:

John the Ripper cracking passwords

To crack passwords using John the Ripper first we need to install it with the following script:

#/bin/bash
# Centos 7 John the Ripper Installation
yum -y install wget gpgme
yum -y group install "Development Tools"
cd
wget http://www.openwall.com/john/j/john-1.8.0.tar.xz
wget http://www.openwall.com/john/j/john-1.8.0.tar.xz.sign
wget http://www.openwall.com/signatures/openwall-signatures.asc
gpg --import openwall-signatures.asc
gpg --verify john-1.8.0.tar.xz.sign
tar xvfJ john-1.8.0.tar.xz
cd john-1.8.0/src
make clean linux-x86-64
cd ../run/
./john --test
#password dictionnary download
wget -O - http://mirrors.kernel.org/openwall/wordlists/all.gz | gunzip -c > openwall.dico

Then we execute ./john-1.8.0/run/john -wordlist:openwall.dico passfile.txt

And we wait for the passwords to be cracked.

SSH With Public-Key Authentication

To connect to our server using our public key we do the following in our Linux machine:

First we generate a ssh key with the command ssh-keygen

Then we copy our public key to our Linux server with ssh-copy-id -i ~/.ssh/id_rsa.pub a01225953@10.40.53.3

And that’s all now we can connect to our server ssh a01225953@10.40.53.3

Mitos de seguridad en Linux

Estamos en el siglo 21 y resulta impresionante la cantidad de personas que todavía creen que los sistemas operativos basados en Linux son completamente seguros. De hecho, Linux y Security son dos palabras que raramente se ven juntas.

También como mucha gente cree que las Macs son inmunes a los virus, algunos usuarios de Linux tienen el mismo mal entendido. ¿Y quién los puede culpar? Después de todo, los vendedores les siguen diciendo eso por años.

En 2012, después de incremento exponencial de malware en OS C, Apple decidió cambiar en su página de inicio la sentencia “It doesn’t get PC viruses.”

Recientemente, Red Hat también decidió (finalmente) remover su logan “virus-free” desde el overview de las características de Fedora Linux.

Así que este día he venido a destruir estas leyendas urbanas acerca de la seguridad en Linux.

Linux no es invulnerable y libre de virus

Ahora en día, en número de amenazas se ha ido incrementando exponencialmente a medida que la tecnología ha avanzado y estas amenzas van más allá de una simple infección de malware. Solo piensa en la última vez que recibiste un phishing email o terminaste en un phishing website. ¿Entonces ser un usuario de Linux te previene de que alguien te robe tu información bancaria? Ciertamente no.

Los hackers no tienen de objetivo a Linux debido a su bajo mercado

Absolutamente desde el punto de vista de los servidores, distribuciones de Linux tiene cerca del 40% del mercado y desde el punto de vista móvil, Android tiene la mayor parte de mercado.

Windows malware no puede correr en Linux

No es exactamente cierto. Cada vez hay más amenazas cross-platform. Esto es debido a los frameworks multi-plataforma que existen en el mercado.

Además, los servidores de Linux son usados para alimentar los malware de Windows. Cuando das clic desde tu computadora que corre Windows en una página maliciosa existen altas probabilidades que te dirija a un servidor de Linux.

En Linux tu instalas software desde los repositorios que contienen únicamente software de confianza

Claro, pero eso no nos haces inmunes del todo ya que si buscamos como instalar Java en Linux nos encontraremos con cientos de tutoriales y muchos de ellos te dicen que agregues un repositorio y lo bajes desde ahí y aquí es donde los hackers se aprovechan ya que mucha gente agrega repositorios sin conocer su origen.

Referencias

Vulnerability in the Linux kernel’s tcp stack implementation https://blogs.akamai.com/2016/08/vulnerability-in-the-linux-kernels-tcp-stack-implementation.html

2015’s MVPs – The most vulnerable players http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/