17 de julio de 2009
16 de julio de 2009
Firefox Tunning: Top 10 plug-ins
De aquí surge la idea, ¿puede ser un navegador una buena herramienta de trabajo en nuestras auditorias? Por supuesto que si, es casi indispensable. Ahora bien, ¿puede agilizarnos el trabajo? También.
He hecho una pequeña lista con los 10 plug-ins más interesantes para hacer Firefox tunning, evidentemente no estaréis de acuerdo con algunos de ellos y otros los desconoceréis, de igual forma si conocéis alguno que puede venir bien, animaros a comentad :-)
1.- User Agent Switcher à Indispensable si quieres cambiar la forma en la que te presentas a los servidores web.
2.- Foxy Proxy à Muy útil para cambiar de proxy de forma ágil, si utilizáis herramientas como Paros es indispensable.
3.- FireGPG à Utilidad para incorporar cifrado y autenticación PGP a nuestro correo electrónico, lobosoft ya nos hablo de él cuando vimos el PGP Desktop.
4.- Secure Password Generator (Firefox 3.0) à Sencilla utilidad para generar nuestras password de forma robusta.
5.- Ghostery 1.5.1 à Este fantasmita se nos incorporará en la barra de tareas avisándonos cuando el sitio que visitemos intenta recuperar información “adicional” de nosotros. Muy util para proteger nuestra privacidad.
6.- Dr.Web anti-virus link checker 1.0.20 à Y que tal si en vez de bajarnos algo y pasarle el antivirus, lo hacemos “antes” de que ya esté en nuestro equipo, o de otra forma, antes de visitar una pagina web y cargarla, ¿por qué no revisamos el enlace? Dr.Web lo hace por nosotros.
7.- Access Me à Esta herramienta y las dos siguientes forman parte de un pack de auditoria web donde se tratará de acceder a links ocultos, hacer SQL injection en su forma básica y XSS, genera sus propios informes y todo :) proporcionado por Security Compass.
8.- SQL Inject-Me
9.- Exploit-Me
10.- Web Of Trust à Incorpora a tus busquedas en google, bint, etc. un indicador con la confianza que puedes tener al visitar un sitio web.
10 + 1.- Panic Button 1.1.2!! (este ya sabeis para que vale).
Es posible que al final os junteis con un monton de complementos y al final os salgan unas barras minimo como esta, pero a buen seguro ganareis en seguridad y agilidad :-)
14 de julio de 2009
Secure Updates
Esto que hoy ha ocurrido para una actualización de BlackBerry en Dubai podría representar que todos nuestros agentes comerciales (y unos cuantos Directores) con sus flamantes BB se quedasen sin teléfono durante varios días. ¿Está este riesgo contemplado en nuestro análisis de riesgos? Es probable que no para los teléfonos, pero si para nuestros servidores, workstation, dispositivos de red, etc.
La política de aplicación de parches es sin duda una de las más importantes para nuestros sistemas de información, si bien los informáticos tenemos tendencia a tener la “ultima moda” tendremos que controlarnos un poco, aunque eso signifique tener nuestros servicios expuestos unos días más a ciertas vulnerabilidades. Es importante mantener una horquilla de tiempo desde la publicación del parche hasta su aplicación, en ese tiempo tampoco debemos estar de brazos cruzados esperando que alguien reporte posibles problemas. Como administradores podemos aprovechar para probar las actualizaciones en entornos controlados, por ejemplo uno donde se Certifique que el cambio no provoca impactos no deseados en los servicios que soportan el sistema parcheado. Una vez que se certifica que la aplicación de un parche es segura (en todos los sentidos) hay que generar un proceso de gestión del cambio apoyado en nuestra Base de Datos de Gestión de
- Todo el software debe estar inventariado.
- Debe existir una política de actualización y control de software.
- Las actualizaciones se obtendrán directamente desde el fabricante, nunca desde terceros.
- Todo parche y actualización debe ser probado en entornos controlados y aislados antes de su aplicación.
- En caso de que la aplicación de un parche genere un riesgo mayor que la exposición a las vulnerabilidades, no se aplicará. No obstante se deberán estudiar medidas compensatorias.
- Las actualizaciones se aplicarán de forma escalada y controlada.
- Se creará un procedimiento de marcha atrás.
Los parches y actualizaciones son importantes para mantener e incrementar el nivel de seguridad de nuestros servicios y sistemas, y al fin y al cabo de nuestro negocio. Pero también pueden ser un riesgo si no se aplican correctamente (ya sea por exceso o por defecto).
Actualizad con moderación! :-)
10 de julio de 2009
Sarbanex Oxley
Sin embargo estas no son las únicas referencias al cumplimiento legal con las que los Consultores debemos tratar en nuestro día a día. En un mundo global con relaciones comerciales globales y empresas multinacionales no debemos descuidar la legislación de aquellos otros países en los que operamos. Por ejemplo, dentro del mundo de la banca existe un estándar bajo el que deben regirse las operaciones con tarjeta de crédito, es el Estándar de Seguridad de Datos para la Industria de Tarjeta de Crédito (PCI-DSS). En un sector totalmente opuesto tenemos
Finalmente tenemos
¿Por qué surge SOX?
¿Por qué aplica SOX a los Sistemas de Información? Actualmente el enorme avance de la tecnología ha propiciado que los sistemas financieros se apoyen sobre los sistemas de información para acometer sus funciones. En tal sentido, los SdI deben garantizar la fiabilidad de la información financiera, por lo que se deben implementar controles específicos para garantizar la fiabilidad de este tipo de información. ¿Cómo implantar controles internos? Volvemos aun más atrás en el tiempo, mucho antes de la aparición de SOX, allá por el año 92 surgió el informe COSO, el cual tenéis disponible aquí y que es punto de referencia para la implantación de controles internos sobre la información financiera:
Sin embargo organizaciones como ISACA tampoco se han quedado atrás y han adaptado COBIT a
Seguramente ahora os parezca más sencillo, las aplicaciones financieras no son un tipo especial de aplicaciones, los controles que aplicaremos serán bien conocidos, cambio en los programas, control de acceso, registros de auditoria, etc. Partiendo de esta base el “Road Map” que nos lleve a tener un IT Compliance en una auditoria SOX queda bien reflejado en la siguiente imagen:
Aun así siempre quedarán cositas, todo auditor debe hacer un informe al fin y al cabo, pero no debemos tirarnos de los pelos. A grandes rasgos los controles generales a aplicar sobre los SI se centrarán en:
- Control de Accesos: Control de lectura, alta y modificación, perfiles de acceso, procedimientos documentados, registros de auditoría).
- Pruebas de desarrollo y modificación de los SI.
- Control sobre el funcionamiento de los SI (validación de E/S, comprobación de calculos, gestión de errores).
La forma de implantar controles para estas 3 áreas no viene especificada en
Y esta ha sido la lectura “veraniega”, espero que os haya gustado.
Salu2!
8 de julio de 2009
ioSafe: Hard Hard Drive
Habría que darle un disco duro de estos a la gente de Brainiac para comprobar que funcionan aunque después de ver el video me quedan pocas dudas:
Este “cacharro” es toda una maravilla para informáticos “descuidados” o para aquellos que no diferencian el tostador del microondas. Es un disco duro externo que va desde los 500 GB a 1.5 TB capaz de aguantar durante
Salu2!
7 de julio de 2009
Spider 0.01
Al fin y al cabo 1 semana no es mucho tiempo (de ahí que se pase rapidísima cuando uno tiene los pies en remojo en aguas levantinas), no obstante incluso en vacaciones surgen conversaciones de seguridad o al menos se te ocurren ideas para la vuelta. Así ocurrió cuando tras pasar por Terra Mitica decidimos comprar una de esas fotos que te tiran cuando llevas cara de "Speed". En este caso la compra se tradujo en un ticket con un código donde te metes en un sitio web y tras meterlo te puedes bajar la foto. La estructura del código era la siguiente:
Nombre del Parque: TM (Terra Mitica)
Atracción: Cataratas del Nilo (CN)
Mes: X
Dia: YY
Codigo de imagen: JZZZZ (ZZZZ à [0-9999]
Así por ejemplo TMCN707J1384 será la foto 1384 disparada el 7 de Julio en Cataratas del Nilo en Terra Mitica, ahora bien solo se suben las fotos que son adquiridas, el resto se eliminan (supongo). Al final este código se traduce en una URI que te adentra en un árbol de directorios hasta tu foto:
http://www.sitioweb_empresafotos.com/RIDES/TMCN/702/FullRes/codigofoto.jpg
#!/usr/bin/perl
#Spider by GigA#
use LWP::Simple;
use LWP::UserAgent;
my $ua = LWP::UserAgent->new;
$ua->timeout(1);
$ua->env_proxy;
use ExtUtils::MakeMaker;
print "Spider 0.01 by GigA\n";
print "We start the download series, $i\n";
my $user = prompt "Proxy user:";
my $password = prompt "Proxy password:";
$ENV{HTTP_PROXY} = 'http://proxy.local:8080';
$i = $i -1;
for($i=1000;$i<2000;$i++){
$string = '0' x ( 4 - length($i) ) . $i;
my $status = getstore("http://www.sitio_empresa.com/RIDES/TMCN/704/FullRes/J$string.jpg", "J$string.jpg");
if ( is_success($status) )
{
print "File downloaded correctly\n";
}
else
{
print "Error downloading file J$string.jpg: $status\n";
}
}
Le he incluido autenticación por Proxy aunque te funcionará igualmente si no pones nada, viendo la potencia y sencillez de PERL pillarme un librito para aprender realmente será obligación este verano.
¿Cómo mejorar este pequeño script? Ocultando o cifrando los caracteres mostrados en pantalla, permitiendo que detecte y busque en subcarpetas, acelerando el tiempo de las busquedas, etc. Etc. Vamos, todo lo que puede hacer un programa para hacer “site download” pero sin realizar búsquedas en el código de la pagina Web.
¿Sugerencias?
Salu2!