26 de abril de 2009

Quake Live

Hay días que el dolor de cabeza se hace presente, no tenemos ganas de pensar sobre el trabajo, la Seguridad Informática nos la repanpinfla y solo queremos despejar la mente y relajarnos. Entonces es cuando pensamos, ¿por qué no matamos unos cuantos alienígenas y bichos estrafalarios? Oh si, eso si que relaja. ¿Y si tuviéramos un shooter de los de antaño a un par de clicks de distancia? Pues sí, lo tenemos. 

Si recordáis allá por el año 2000 (coincidiendo con el fin del mundo) llegó a nuestras manos el afamado Quake 3: Arena, que hacía competencia al no menos conocido Unreal Tournament, pues bien, desde www.quakelive.com  podemos recrear estas partidas y jugar a todo trapo desde nuestro cliente “ligero” (podemos ver subir nuestro proceso hasta los 150 MB fácilmente) Internet Explorer o Mozilla, y todo de forma gratuita:

 

Eso sí, aviso que puede llegar a ser adictivo.

Salu2

22 de abril de 2009

Blue Screen Of Death (I)

Doctor, qué me pasa, lo veo todo azul.

Respuesta: Descanse tranquilo. Tiene un cuadro de BSOD.

Seguimos sin salirnos del mundo Windows. Como administrador de mi Windows Vista (todos los usuarios somos nuestros administradores en casa) me encanta responder a la frase de “tengo que formatear el Windows ya, se me queda perlao” un “¿formatear?, ¿para qué?”. Y es que en el subconsciente de los usuarios se ha metido la idea de “formatead hijos mios, formatead”, como si formatear fuera un proceso similar al purgatorio, y con ello limpiáramos “el alma” de nuestro ordenador.

Craso error, un buen administrador nunca formatea. ¿por qué? Por que al sistema se le oprime, se le explota, se le despieza hasta su mínima impresión, se estudia y aprende, analizando logs de error, actualizando drivers, desinstalando componentes que pueden ser la causa, se le da una vuelta, dos y tres. Al sistema se le educa, por que está para servirte a ti, no para que tu lo sirvas a él (perdonadme robots del futuro, tened en cuenta que estamos sólo en el 2009). Por todo ello instalé el WXP en mi equipo en el año 2001, y con el estuve hasta el verano de 2007 donde me cambié a WVista. Y con el sigo, (aunque confieso que las distros de Linux me las voy fundiendo cada 3 meses).

De todas formas si me pongo del lado del usuario, comprendo muy bien que a nadie le apetece freírse las neuronas, sobretodo cuando hay que lidiar con cosas como esta:

El BSOD más grande del mundo (Toronto)

Si, estamos hablado de los famosos pantallazos azules, ¿a que todos habéis tenido alguno?, ¿de donde surgen?, ¿por qué?, ¿puedo hacer que sean rosas? Esto último creo que todavía no lo ha patentado nadie pero el como y el por qué aunque sé que no lo parece, está muy claro. Un pantallaza azul, o “Blue Screen Of Death” es algo bueno, ¡deberías querer tener uno! Bueno, no tanto, lo que ocurre realmente es que el sistema operativo detecta que alguien ha tocado sus partes nobles, alguien ha hecho algo que no debería y puede hacer daño al núcleo del sistema pero decide antes que ocurra todo eso cortar por lo sano, dar un error en la pantalla, volcar la memoria de nucleo, informar al usuario y hacer un cierre “ordenado” en la medida de lo posible (a la par que caótico de aspecto). Por cierto, ¿dónde configurar los volcados de memoria?

Propiedades del Sistema --> Inicio y Configuración --> BSOD a la carta

Mis más fieles lectores recordareis que estuvimos discutiendo las BSOD y concretamente la ausencia de estas en W.Vista (relativa). Ya sabéis que Vista es un sistema operativo multicapa, con un esquema de mensajes entre procesos muy parecido al modelo de Biba (del cual hablaremos algún dia, junto a Bell la Padula y otros). Esta arquitectura se apoya en componentes de seguridad que dan cierta robustez al sistema operativo, como son el Kernel Patch Protection (ya disponible en XP y Server 2003) o el UIPI, con medidas tan interesantes como que el Internet Explorer trabaje con los menores de los permisos.

Pero hay ocasiones en que todo esto falla, algún usuario o programa se pasa de listo, accede al “anillo 0” y empieza a tirar de cables, es entonces cuando llega la temida BSOD, ¿qué significan todas estas letritas que parecen salidas de Matrix?

Próximamente en, “Todo es Seguro” :-p

Salu2!

20 de abril de 2009

Internet: Del paleolítico a la actualidad

A través de microsiervos descubro un interesante video sobre historia. Desde que todos los continentes formaban la Pangea, allá cuando las especies se clasifican con unos pocos bits, los días de la semana todavía no estaban creados y las 7 capas de la pila OSI eran solo un sueño. Los primeros super ordenadores digo dinosaurios que hoy nos caben en el movil ocupaban habitaciones enteras, la guerra fría mantenía a rusos y americanos con más frio que robando pingüinos. Fue entonces cuando empezó a nacer aquella que sustenta este y otros universos web. Fue entonces cuando surgió Internet:


¿Cómo será Internet dentro de 50 años?

18 de abril de 2009

Sam Cracking

¿Sábes cómo se entra aquí?

Respuesta: No lo se, pero estoy seguro que el Tio Sam si.

Si hay una combinación de herramientas dentro del mundo del Cracking que tiene historia y de la que “casi” todo el mundo ha oído hablar es la de Pwdump + L0pthcrack, con una extraes los hash de la SAM de Windows (del que estés usando o de uno remoto), y con la otra aplicas ataques por fuerza bruta (principalmente). Forman parte del “kit de herramientas” con el que todo white/black hat va tirando en el día a día.

La sintaxis de Pwdump es muy sencilla, con un sencillo “Pwdump nombre_maquina –u nombre usuario” puedes extraer de la SAM todos los hash (de los que ya hablamos), siempre y cuando dispongas de permisos claro (esto si tienes acceso físico no es un problema, como ya sabemos). El resultado te lo muestra en pantalla:

También puede ser redireccionado a un fichero, el cual puede servir como entrada para L0pthcrack. Ahora bien, esta última herramienta cuyo soporte  era labor de Symantec ya no es mantenida (desde el 2006), por lo que voy a aprovechar para presentaros su homóloga, el Opthcrack:

Aparte de aceptar el fichero de salida de Pwdump, puede obtener directamente el SAM por ella misma y mostrarte los usuarios del sistema, si tienen contraseña y el hash de la misma. Si queremos “recuperarlas” tendremos que bajarnos las Rainbow Tables por ejemplo de aquí (válidas para Windows XP). Con todo ello solo debemos seleccionar la opción de “Crack” y a los pocos minutos (dependiendo de la robustez de las contraseñas estas pueden tardar más tiempo o no llegar a ser extraídas de forma razonable) tendremos el premio:

Por que un olvido lo puede tener cualquiera, y si aun así no lo conseguimos, siempre nos quedará el Hiren's Boot :-P

Salu2

17 de abril de 2009

Esmeralda, lectores. Lectores, Esmeralda.

Se acerca el fin de semana, ¿no tenéis plan?, ¿estáis aburridos?, vamos, tiene que haber algo que se pueda hacer… ¡espera!, ¡se me ocurre una idea!, os voy a presentar a una amiga mía. Sé que vosotros no sois de esos que les gusta ligar por internet, el método tradicional es siempre más bonito, pero oye, yo os la presento y ya me contáis, ¿vale? Solo tenéis que agregar esmeralda@virustotal.com a vuestro Messenger y podréis verla:

Parece de buena familia :-p

 Hmm, ¿a que es guapa?, encima habla inglés a la perfección, puede mantener una conversación “animada” y entiende un poquito de virus, hashes y cosas malignas varias. ¿Ah, que no queréis mezclar trabajo y Amor? Bueno, ella trabaja en Hispasec, no creo que os crucéis pero oye también le puedes hablar de comida, deportes, etc. En fin, una chica maja, sobretodo cuando le pregunté si le sonaba de algo un hash y me dijo que virus era,  ¿cómo? Pues muy sencillo:

  ¡hash código_hash (SHA1 – MD5 – SHA256)

        - ¡url  url_paginaweb

¡Conocía el Eicar Test File!, ¿Sabrá cocinar?

Bueno, pues ya tenéis plan para este finde ;-P Si no me preocupo de vosotros,, a ver quien lo hace.

Salu2!!

PD: Si, los chicos de Hispasec se lo pasan muy muy bien en el trabajo :D

PD2: El método tradicional:


12 de abril de 2009

Firewall Suizo

Jamon de York, mantequilla, un firewall y pan de molde, eso sí es un buen sándwich.

Respuesta: Sólo si el firewall es Suizo.

Hoy vamos a hablar de una tecnología nueva en el mundo de la Seguridad de la Información, concretamente en el capítulo de “Seguridad de las comunicaciones”.  Exacto, vamos a hablar de los Firewall (y no, no me refiero a la película de Harrison Ford). ¿Por qué digo nueva? Bueno, principalmente por que considero que estos dispositivos tienen que estar al día siempre. Un firewall tiene que ser tan nuevo como los servicios de nuestra empresas, o mejor dicho, sus políticas de seguridad.

Repasemos, un cortafuegos sirve (a muy grosso modo) para separar redes distintas dejando tan solo los flujos de comunicación que consideremos legítimos o válidos. Por ejemplo, el firewall que nos separe del mundo Internet tendrá prohibido todo el tráfico de entrada, excepto algún servicio que publiquemos al mundo, llámese mi página Web. Lo mismo ocurrirá con los flujos de salida. Estos filtrados pueden hacerse de muchas formas dependiendo del nivel al que trabaje el cortafuegos:

1.- Filtrado de paquetes (1ª generación): Analiza los paquetes de entrada y ver si hay alguna regla definida que los deje pasar (suponemos que todo se rechaza por defecto). Vulnerables a IP Spoofing. Nivel 3 OSI.

2.- Filtrado por estado (2ª generación): Estos cortafuegos mantienen “en memoria” el rastro de cada conexión que se permite, detectando comportamientos anómalos o sospechosos como un ataque DOS. Pueden llegar al Nivel 7 OSI.

3.-  Proxy – Firewall (3ª generación): Trabajando en la capa de aplicación estos dispositivos son capaces de inspeccionar el tráfico de protocolos y servicios que trabajan a este nivel, detectando posibles exploits, comandos no permitidos, etc.

4.- Kernel Proxy – Firewall (4ª generación): Incluyen inspección profunda de paquetes, tecnología de detección / prevención de intrusiones, etc.

 Independientemente de que generación sea nuestro firewall, tendrá una base de reglas que a buen seguro habrá que revisar periódicamente. Estas reglas deben basarse en unos pocos principios básicos:

-          Todo se rechaza por defecto.

-          Solo se autoriza tráfico para servicios reconocidos en la organización.

-          La regla debe ser tan restrictiva como sea posible, a nivel de puertos (conociendo los puertos que manejan los servicios) y a nivel de IP (conociendo quienes van a demandar estos servicios).

-          Si un servicio se da de baja o cambia, deben cambiar o darse de baja las reglas asociadas al servicio (llamémosle gestión de cambios controlada).

Si no trabajamos con estos principios, nos encontraremos con cositas como esta:

Tiene pinta de ser un FWSM suizo. 

En mi experiencia el principal problema que he encontrado ha sido el de reglas obsoletas, que cubren servicios inexistentes o para máquinas que han migrado o simplemente desaparecido. Una solución es establecer un periodo de caducidad para las reglas, de tal forma que una alerta te avise el día que estas caduquen, no obstante esto se puede volver inmanejable en organizaciones que tengan decenas de firewall y por tanto cientos de reglas. No es un problema de fácil solución, la caducidad es una buena idea ya que obliga a revisar lo implantado, ahora bien, ¿Cuáles revisar de todas las decenas que pueden caducar en un día sin que el  administrador se vuelva loco? Se me ocurre comenzar por aquellas reglas por las que no pasa tráfico, estableciendo mecanismos como la baja automática en aquellas que no se produce un “match” durante 3 meses, siendo ese periodo configurable según la criticidad de las redes que se separan, no es lo mismo una red de ofimática que una de gestión, ni cuanto menos una red de datos (y todo ello sin provocarte DOS).

Mantener unas políticas acordes a nuestra arquitectura de red es crítico para la seguridad de nuestras redes, establecer los controles para verificar que se cumplen las políticas, también. Es la única forma de que nuestro queso tenga los agujeros que necesita, ni uno más, ni uno menos.

Más info en:

http://www.conectronica.com/200812052004/Nuevos-enfoques-en-el-an%E1lisis-de-la-tecnolog%EDa-firewall-componente-esencial-para-la-seguridad-red.html

http://en.wikipedia.org/wiki/Firewall

Salu2!! (Y cuidado en la vuelta de vacas xD)

3 de abril de 2009

Token - Phone

Vaya, ¡que teléfono más chulo!, seguro que es de esos que hacen fotos.

Respuesta: No es un teléfono, es un token.

Todos hemos visto un teléfono móvil, ¿verdad?, los más avanzados en esta tecnología sabrán que ya incluyen cámaras de fotos, luego es un teléfono – cámara. Los últimos modelos (solo para visionarios) ya son teléfono – cámara – reproductor MP3 – GPS – PDA. Luego están los “freaks” con el teléfono – detector de billetes falsos o el teléfono – mando NES.


Sin embargo siempre puede llegarse un poco más lejos. Mezclemos la tecnología movil con nuestro comercio por Internet, esos billetes de avión que compramos, los caprichitos de eBay, el hotelito del próximo puente. Todos ellos sistemas que requieren autenticación robusta, es decir de 2 de los 3 factores (algo que soy, algo que tengo o algo que sé). ¿Qué es lo que conseguimos? El último producto de Verisign para vuestros teléfonos (también para el Iphone :-p). La idea no es nueva (muchos bancos llevan proporcionando desde hace tiempo tokens a sus clientes para sus operaciones por Internet), sin embargo añade un factor de comodidad que el usuario agradecerá:

Una primera pega es que centralizamos en un aparato el 50% de nuestra seguridad (sin contar el resto de información de todo tipo que se lleva hoy en día en los teléfonos), por lo que tendremos que ser menos despistados y más cuidadosos con él.  Una ventaja es que aunque cualquier troyano nos robe las credenciales de estos sitios, todavía no tendrá el token ;-)

Los sitios de Internet que permiten el “token móvil” están en este enlace.

Me parece un buen ejemplo de usabilidad + seguridad, ¿y a vosotros?

Salu2!

1 de abril de 2009

Caminando al CISSP (IV)

Parecía que no iba a llegar nunca el momento, pero tras 10 largas semanas de mezcla Trabajo + Estudio + NoVidaSocial conseguí plantarme en Barcelona y examinarme del CISSP, razón por la cual (aparte de uno de esos picos de trabajo) he tenido el blog abandonadito 10 dias. Por suerte poco a poco se ha podido volver a la normalidad, la pregunta que os haréis seguramente sea esta, ¿Cómo fue? La respuesta coincide con lo que un buen consultor responde a cualquier consulta de seguridad,,, “Depende”

La Sagrada Familia, sí, sigue en obras :-)

Os dibujo el escenario, 25 personas presentándose al examen. 250 preguntas multirespuesta. 6 horas para completarlas y algunos compis que parecía que estaban de “picnic” más que haciendo un examen (siempre me pareció absurdo este tipo de cosas, no entraré en detalle). Mi preparación se había basado prácticamente en el CISSP All-In-One, preguntas de ese libro y de www.cccure.org y alguna ojeada por comparar con el libro oficial. En los test de simulación había tardado unas 2.5 horas, en la realidad pasé de las 5 horas (…).

Me pareció bastante duro, con preguntas que llegaban a ocupar medio folio DIN A4 donde cuando llegabas al final no recordabas que te preguntaban, muy poca seguridad física, bastante de comunicaciones y criptografía, plan de continuidad, poquito de gobierno de la información,,, etc. Por suerte el formato libro y la traducción a Ingles / Español ayudaba un poco. Los resultados del examen saldrán en 3-4 semanas (en esto son más rápidos que los del CISA), hasta entonces como se suele decir “hecho está”.


Torre Agbar, Barna siempre tan bonita :-)

Cambiando de tercio, una rápida conclusión de esta baja participación es, ¿las empresas ya no se preocupan en formar a sus empleados?, ¿será que con la CRISIS no se demandan estos perfiles? Por curiosidad realicé un mini estudio comparativo entre CISA, CISM y CISSP en tecnoempleo e infojobs. Esto es lo que demanda el mercado:

Tecnoempleo, ofertas de trabajo:

-          CISSP: 10

-          CISA: 13

-          CISM: 11

-          CEH: 2

Infojobs, ofertas de trabajo:

-          CISSP: 17

-          CISA: 19

-          CISM: 17

-          CEH: 3

Estoy seguro que hay muchas más ofertas pero,, lanzo una pregunta al viento, ¿por qué hay entre 100 y 200 personas en los exámenes oficiales de CISA & CISM y tan pocas en CISSP?

Salu2!

PD: Gracias a todo el mundo que me ha apoyado en esta mini-aventura personal, con vosotros el viaje ha sido más fácil. Zarpamos de nuevo ;-)

Caminando al CISSP (1)

Caminando al CISSP (2)

Caminando al CISSP (3)

Caminando al CISSP (4)