Seguridad



Bueno, llegó el día y después de reservar entrada desde hace ya tres meses ( finales de diciembre ), mañana se inicia la RootedCON. Congreso de seguridad informática en Madrid , del 18 al 20 de Marzo. www.rootedcon.es

Allí estaremos ante unos ponentes de lujo y un plantel muy bueno. Desde luego, para ser la primera, creo que lo han conseguido.
Cuando me inscribí me arriesgué a no saber los ponentes, no había casi patrocinadores, en fin todo parecía cuesta arriba. Pero ha pasado el tiempo y el trabajo ha dado sus frutos. 400 personas, lleno total. 180 personas fuera y todo vendido.

Ponentes: Ver lista

Ponencias: Ver lista

Parece que ha despertado un gran interés y me da la sensación que estará a la altura de las circunstancias.
Ahora , … si eres padre, no se yo si te van a dejar tus hijos. El día del padre metido en un congreso de seguridad mañana y tarde….ufff. Esto sí es complicado.

saludos tecnólogos,

Anuncios

Hoy he asistido al evento Up To Secure 2010 en Getafe de los chicos de Microsoft Technet. Empiezas a ver caras comunes en estos eventos , aunque sean en distintas ciudades de la geografía española.
Parece que va despertando cada vez más curiosidad este tipo de eventos.

La Agenda era la siguiente:

Agenda: Up To Secure 2010

D-Link: Circuitos de Vídeo vigilancia IP
SmartAccess: Portátiles corporativos a prueba de robos ( Rames Sawart, de SmartAcces)
Quest Software: Estrategia ante desastres en AD y Exchange
Microsoft Technet: Forefront Client Security ( Juan Luis Rambla )
Informática 64: Guerras Navales (chema alonso.)

Bueno , ante una agenda así es dificil resistirse.
Al tema:

– En la parte de videovigilancia

Vimos las “clásicas” cámaras ip, con funcionalidades específicas como infrarrojos y tecnologías propias de d-link de mejora de colores, calidad, etc. Destacar las funcionalidades en cuanto a gestión remota y opciones como monitorizar los movimientos en áreas seleccionables y búsquedas de las mismas en los videograbadores. Mejora la gestion en la busqueda de grabaciones, así como diversas utilidades como rotación automática, acceso a través de moviles 3g, monitorización de eventos y envío de mms con la foto correspondiente por ej, ó subirlo a un servidor FTP.

– SmartAccess

Nos muestras sus soluciones de accesos biométricos en nuestro sistema. En la demo se han visto accesos a través de tarjeta inteligente ( Dni-e ) , así como un lector de huella dáctilar. Tanto para accesos simples, como integracion en directorio activo y politicas ( GPO ). Tema de grán interés debido a la necesidad cada vez más frecuente de obtener la certeza de quien entra en el sistema es quien dice ser. Tambien se han tratado temas como los chips TPM, para fortificar la autenticación y cifrado, así como Bitlocker, tecnología integrada en Windows 7 para cifrado de discos duros y memorias USB. Vital en los tiempos que corren.

– Quest Software

Nos vuelve a mostrar su herramienta de recuperación de Active Directory y Exchange. como es capaz de hacer un backup en tiempo record de directorio activo, así como su elevada granularidad del producto, que nos permite recuperar desde un site entero ó una unidad organizativa hasta el nombre de un usuario del dominio. Todo ello , permitiéndonos comparar el estado actual, con el estado del backup. Francamente util. Menuda aplicación. En Exchange igualmente, nos permite una granularidad importante a la hora de restaurar un buzón, usuario, etc.

– Microsoft Forefront Client Security.

Juan Luis Rambla , ha empezado explicando en qué consiste la solución antimalware de Microsoft , así como cuales son todas sus ventajas en relacion a la competencia respecto a la elevada información que transmite al administrador. El estado de los equipos, el control de las actualizaciones, etc.

Sus componentes que le otorgan sus virtudes: ( todas ellas necesarias y obligadas para su funcionamiento)
– Integracion con Active Directory para politicas y reglas.
– Despliegue de firmas con el servidor SUS ( Sistem Update System ) de Microsoft, ya no solo se usa para actualizaciones de sistema, sino para el despliegue de firmas y actualizacion del motor del antivirus.
– Recogida de alertas y avisos mediante MOM ( Microsoft Operations Mananger). Ya que tenian este sistema de alertas por qué no reaprovecharlo para las alertas de malware, desactualizaciones, notificaciones…
– Almacenamiento de datos y reporting de informes con Microsof Sql Server 2005.

Todo ello consistuye una imporante herramienta de monitorización y control de los equipos de la red en la parte de malware y antivirus. A ello se une permisos de administracion , politicas, etc. Como podéis observar no es un antivirus para una red de 5 equipos.

Estar atentos a las nuevas versiones así como más productos de la familia forefront. ( más info en http://www.forefront-es.com ).

– Guerras Navales:

Amena charla (para variar ) de Chema Alonso comparando los navegadores de Internet huyendo de sensacionalismos y charlas sin base alguna. Se han expuesto las tecnolgías a disposición de los navegadores en los sistemas operativos microsoft. Como son la regla del minimo privilegio posible, Data Execution Prevention ( DEP ), Mandatory Integrration Protocol, así como User Interface Privilege Isolation ( UIPI ). Se han analizado que navegadores proporcionan una mayor tasa de vulnerabilidades, tiempos de respuesta en resolverlas, así como diversos puntos de vista para hacer nuestra elección.

En fin una jornada muy interesante para llevarnos a casa. Ánimo y enhorabuena por la organización de la misma, así como los propios contenidos, que han hecho llenar el audotorio de formación ocupacional de Getafe.

Saludos para todos!

PD: Dar Gracias a Clemente,por permitirme asistir a estas cositas.

Hola de nuevo. Desde la última entrega de búsquedas avanzadas con Google, en el que veíamos comandos como inurl, intitle, hoy veremos alguna de las aplicaciones y curiosidades que nos podemos encontrar.
Varios libros y documentos hay sobre técnicas de hacking en google. Hoy veremos una pequeña muestra, que verdaderamente yo no considero hacking, pero os sorprenderá.

Muchos de vosotros sois conscientes de la mutitud de cámaras de videovigilancia, webcams y distintos dispositivos que nos rodean por todas partes. También es sabido que muchas de estas cámaras son usadas para controlar oficinas, granjas de animales, naves industriales, guarderías de niños… Y claro, la gran potencia de estas es que podamos ver las imagenes, mover las cámaras y acceder al videograbador de imagenes a través de Internet.

Claro, como os podéis suponer si las cámaras son accesibles desde Internet, es que tendrán un servidor web integrado , mediante el cual accederemos a través de nuestro navegador. todos conocéis esto debido a las webcam.

Pero claro, que pasa cuando en nuestra red empresarial, comercio, nave, etc.. conectamos una cámara IP, y abrimos una puerta en nuestro router para poder conectarnos a las mismas. Es decir, muchos conoceréis lo que supone hacer un NAT del puerto 80 ( web) de nuestro router al videograbador a la cámara. Claro , la exposicion de este sistema a Internet de estos videograbadores ya tiene su riesgo a través de este sistema, pero imaginaros si sumamos a todo esto, el no poner contraseña de acceso a nuestras cámaras.. Drama total no?.

Bueno, pues nada, si analizamos las cámaras del mercado, vemos que el mayor distribuidor y fabricante de cámaras ip, utilizan una ruta de acceso común usada por todas las cámaras:

/view/index
/view/shtml

Estas son las rutas comunes cuando se accede a una cámara. Pues bien, vamos con el “truco”: Si combinamos estas direcciones de páginas web con el comando que vimos inurl, pues imaginar el resultado:

Seamos prácticos:

Si tecleamos en nuestro amigo Google inurl:/view/index ó inurl:/view/shtml

y que veremos , pues….. se mostrarán todas las direcciones que google ha indexado en su motor de páginas web que tengan esa dirección. Si esta direccion es la ruta de acceso a una cámara y esta no tiene clave seremos capaces de ver y acceder a la cámara de videovigilancia , webcam , etc… no protegida. Es un drama ó no ?, que os parece??.

Mucho cuidado con lo que se toca y con lo que se hace, ya que no es un sistema vuestro y estáis accediendo a un sistema que no es de vuestra propiedad, por lo que podéis incurrir en un delito.

Espero que os guste,,…. espero comentarios..

saludos a mis tecnológos

Bueno, tras mi asistencia al DISI 2009 ( Dia Internacional de la Seguridad de la Información ) en la Universidad Politécnica de Madrid vamos a destacar desde mi punto de vista los temas más relevantes.
Por desgracia llegué tarde por motivos del GPS y la dirección con lo cual no asistí a parte del DISI.
Estuve presente en las partes de tendencias del malware y mitos del hacking.

Bueno , en cuanto a la parte de las tendencias del malware algo que ya se sospechaba que iba a pasar antes ó después, que es que el malware ( virus, spyware, Adware, troyanos…) ha llegado en su desarrollo y ejecución a su punto más alto. Esto es el KERNEL del sistema. Para mí es una noticias bastante dramática y más cuando el modelo actual de antivirus es completamente obsoleto ya que trata sobretodo de medidas preventivas y correctivas basadas en bases de datos de firmas en base a diccionario.
Y bueno , que supone esto del malware en el kernel?. Pues muy sencillo , por ej, si es capaz de dominar el proceso en el cual se ejecuta internet explorer por poner un ej y es capaz de controlar lo que hace y como en sus llamadas a los procesos nativos del sistema, se tiene el control absoluto. Esto es , que la capa SSL de la banca electrónica puede no servir para nada, por ej.

Imaginaros si con privilegios se ejecuta en el kernel del sistema. Vaya tema, .Pero no lo es aún menos su desinfección y eliminación. Tarea nada fácil y sencilla, ya que al intentar pararlo , eliminarlo, etc.. destruiremos el funcionamiento del Sistema Operativo.

En cuanto a la parte de mitos-realidades-mentiras del Hacking, contamos con algunos conocidos en esto de la seguridad, como el lado del mal, security by default , 48 bits y un amigo mejicano que no recuerdo en este momento ( está en el planing)… Pongo sus blogs en lugar de sus nombres.
La realidad es que se presentan años tremendamente entretenidos en esto de la seguridad: Certificados digitales, DNI-e, informática en la nube, Software como servicio ( SaaS ) y un monton de servicios asociados a la Ley de Acceso Electrónico a las administraciones públicas , que ofrecerá a cualquier ciudadano a hacer cualquier trámite con la administración de forma telemática.

Imaginar “mafias” entrando en los sistemas para solicitar pasaportes, permisos de residencia, emision de certificados , etc..

En fin, como ya pregunté allí: Si no hemos superado aún la protección de multitud de webs a ataques de sql injection, como nos vamos a enfrentar a este panorama…Hay que concienciarse de la Seguridad por DIOS! y eventos como esto ayudan a difundirlo.

Los ponentes trataron sobre la rentabilidad de la venta de vulnerabilidades del software, sistemas, etc.. , así como la prensa ha manipulado y torcido todas las noticias relacionados con los fallos de seguridad al relacionarlo , con hackers, en poner en duda todo los sistemas, etc. Hay un mito que no se ajusta en la realidad y debemos de tratar estos temas de forma realista y objetiva.

En fin, se trataron bastantes temas , pero eché de menos conferencias más técnicas y que se “mojaran” más en muchos temas, pero en cualquier caso , buena organización, buenos ponentes y buen trabajo de la cátedra APPLUS de la UPM de la Seguridad de la Información. Ánimo a su director Jorge Ramió , que sigue liderando esta Cátedra con su gran trabajo.

Dejo el link al canal de youtube de la UPM en el que en breve colgarán los videos del DISI 2009 :

http://www.youtube.com/upm?gl=ES&hl=es Saludos tecnólogos.

El próximo lunes tengo la suerte de poder tener la mañana disponible desde hace un par de meses para asistir al 4º día Internacional de Seguridad de la Información . Es un evento que tenemos la grandísima suerte de poderlo disfrutar en España y más concretamente en Madrid, organizado por CAPDESI en la Univesidad Complutense de Madrid. (Link). Lamentablemente, no hay muchos eventos con unos ponentes de este calibre.

Creo que a fecha de hoy que era el último día nos encontrabamos incritos 396 personas para un aforo de 550, lo cual creo que tiene un gran mérito y poder de convocatoria debido en entre otras cosas a la calidad de ponentes y temarios, de carácter nacional e internacional.

Aquí os pongo la agenda, que creo que merece la pena, aunque desde mi punto de vista se me queda bastante corto la verdad.
A su vez disfrutaremos a buen seguro con la presencia de Chema Alonso, al que he visto en muchas ocasiones exponer multiples temas de metadata security, tecnologia windows , seguridad en webs ( sql injection….) , etc.. para los que no lo conozcais y os guste esto de la seguridad, os recomiendo su blog

Dr. Hugo Krawczyk, IBM Research (Estados Unidos) Randomized Hashing: Secure Digital Signatures without Collision Resistance

Resumen:
Los ataques criptoanalíticos en años recientes contra funciones de hash han demostrado la fragilidad de nuestros sistemas criptográficos y han puesto en duda nuestra habilidad para diseñar sistemas que resistan ataques a largo plazo. En particular, estos ataques han expuesto la inseguridad de firmas digitales a tal punto que un grupo de investigadores en Holanda lograron recientemente utilizar los ataques contra la función hash MD5 para falsificar un certificado de clave publica que les permitiría falsificar y desviar a gusto tráfico y transacciones en el Internet. En esta charla presentaremos métodos para obtener firmas digitales seguras aun cuando las funciones de hash utilizadas sean vulnerables a ataques de colisión. Estos métodos están validados con pruebas matemáticas de seguridad y están siendo estandarizados por el gobierno de los EEUU.
La conferencia será en español.

10:30 – 12:00
Coloquio: Tendencias en Malware
Chairman: D. Justo Carracedo, Catedrático EUITT – Cátedra UPM Applus+
Participan:
D. José Bidot, Director de Segurmática (Cuba)
D. Ero Carrera, Chief Research Officer – Collaborative Security Virus Total (España)
D. Emilio Castellote, Director de Marketing de Panda Security (España)

12:00 – 12:45
DESCANSO Y CÓCTEL

12:45 – 14:45
Coloquio: Mitos y Realidades en Hacking
Chairman: D. Daniel Calzada, Profesor EUI – Cátedra UPM Applus+
Participan:
D. Luis Guillermo Castañeda, Director de Servicios Profesionales de Rusoft (México)
D. Chema Alonso, Consultor de Seguridad de Informática64 (España)
D. Alejandro Ramos, Manager de TigerTeam SIA (España)
D. Fermín Serna, Security Software Engineer MSRC Microsoft (España)

14:45 – 15:00
Clausura
D. César Benavente, Subdirector de Investigación y Doctorado EUITT
Dña. Gemma Deler, Directora Adjunta Unidad TI Applus+
D. Jorge Ramió, Director Cátedra UPM Applus+
D. Justo Carracedo, Catedrático EUITT – Cátedra UPM Applus+

Un lujo no creeis, ?. os animo asistir a los que estéis a tiempo de sacar un hueco en la agenda.

Bye tecnólogos,

autorun_
Bueno, a todos os sonará y seguro que lo habéis sufrido en vuestras carnes. Llega un colega, amigo , cliente, proveedor, vendedor, primo, vecino ó cualquier otro “ser” y ve vacío vuestro puerto USB de vuestro PC y se lanza a clavar su pincho USB.

Esa memoria inofensiva, en la cual va a pasaros unas fotos, unos videos, unos documentos y claro como se lo vamos a impedir. Además tenemos antivirus. Nada nos puede pasar.

Pues nada más lejos de la realidad, nos damos cuenta que automaticamente se lanza la ventana del autorun del sistema y se nos abre la ventana típica en la cual se nos ofrecen varias opciones. Autorun ya se ha ejecutado. Pensemos que con este proceso automático hay alguien “maligno” aprovecha esta acción para realizar copias , modificaciones de ficheros, replicaciones , scripts que se autoejecutan, etc.. Probablemente como nuestras credenciales y nuestro usuario en el que trabajamos tenga privilegios de administrador, ya la tenemos liada.

Pues bien , que opciones tenemos. Muchos antivirus ( otros no …) fallan en esta protección porque se produce la ejecución al insertar el fichero con lo que antes de pararlo ya puede haberse insertado en el registro de windows y replicado en las unidades locales como C:, E: , F: , particiones, unidades de red, etc..

Una sencilla solucion que puede aplicarse de forma sencilla es desactivar la funcionalidad autorun en los sistemas operativos windows. Tenía en mente pegar los pantallazos de como hacerlo, pero he visto que esta tarea ya ha sido mostrada en otras webs, con lo cual os pongo los link a las mismas para que podáis verlo y optar por desactivar esta opcion.

Para Windows Vista:

Para Windows XP

Para abrir la consola de las directivas que se cita en los tutoriales, recordar : Menu Inicio – Ejecutar – gpedit.msc y para actualizar gpupdate.

Espero que ayude a no coger infecciones diversas….

nombres

Parece que la Agencia de Protección de Datos ha cogido carrerilla y se ha fijado como objetivo el marcar una barrera ante el abuso que sufrimos como ciudadanos en el uso de nuestros datos personales.

Es un nuevo servicio Lista Robinson en el que los ciudadanos pueden inscribirse para evitar recibir comunicaciones comerciales, de distintos medios: llamadas, sms, correo postal y correo electrónico, de empresas con las que no mantenga o no haya mantenido algún tipo de relación.

Es cierto que podemos pensar que solo sirve para empresas en las cuales no hemos tenido relación y esto es insuficiente. Aunque para protegernos de aquellas que usan nuestros datos para un fin diferente del cual fueron recogidos necesitan un consentimiento expreso y por escrito. Esto ya quedó definido muy claramente en el RD 1720 de 2007 en referencia a la LOPD.

Volviendo al tema noticia de hoy decir que se ha habilitado un sistema que permite a los ciudadanos seleccionar
entidades con las que ha mantenido o mantiene una relación contractual para ejercer nuestro derecho de oposición
a recibir publicidad telefónica de las mismas.

El servicio es gratuito para todo el que lo quiera y se apunte en la página www.listarobinson.es

Esperemos que ante iniciativas como estas el entrar en bases de datos que ruedan de empresa en empresa para ofrecer productos y servicios sea un paso más complicado y realmente podamos llegar a proteger nuestra intimidad y privacidad.

Página siguiente »