17 de julio de 2009

Away From Keyboard


¡Volvemos en Agosto! (mas o menos) :D

Pasadlo bien!!

16 de julio de 2009

Firefox Tunning: Top 10 plug-ins

Debates acerca de qué navegador Web es mejor hay casi todos los días, estadísticas sobre cual es más seguro también. Están aquellos que no salen de Internet Explorer, los amantes de Firefox, empieza a surgir un grupo numeroso (entre el que me encuentro) que les gusta la agilidad y rapidez del Chrome, los applemaniacos tienen su Safari, etc. Etc. Independientemente de cual utilices estarás conmigo en que hay uno de todos ellos que destaca por la cantidad ingente de complementos y plug-in de que dispone: Firefox.

De aquí surge la idea, ¿puede ser un navegador una buena herramienta de trabajo en nuestras auditorias? Por supuesto que si, es casi indispensable. Ahora bien, ¿puede agilizarnos el trabajo? También.

He hecho una pequeña lista con los 10 plug-ins más interesantes para hacer Firefox tunning, evidentemente no estaréis de acuerdo con algunos de ellos y otros los desconoceréis, de igual forma si conocéis alguno que puede venir bien, animaros a comentad :-)

1.- User Agent Switcher à Indispensable si quieres cambiar la forma en la que te presentas a los servidores web.

2.- Foxy Proxy à Muy útil para cambiar de proxy de forma ágil, si utilizáis herramientas como Paros es indispensable.

3.- FireGPG à Utilidad para incorporar cifrado y autenticación PGP a nuestro correo electrónico, lobosoft ya nos hablo de él cuando vimos el PGP Desktop.

4.- Secure Password Generator (Firefox 3.0) à Sencilla utilidad para generar nuestras password de forma robusta.

5.- Ghostery 1.5.1 à Este fantasmita se nos incorporará en la barra de tareas avisándonos cuando el sitio que visitemos intenta recuperar información “adicional” de nosotros. Muy util para proteger nuestra privacidad.

6.- Dr.Web anti-virus link checker 1.0.20 à Y que tal si en vez de bajarnos algo y pasarle el antivirus, lo hacemos “antes” de que ya esté en nuestro equipo, o de otra forma, antes de visitar una pagina web y cargarla, ¿por qué no revisamos el enlace? Dr.Web lo hace por nosotros.

7.- Access Me à Esta herramienta y las dos siguientes forman parte de un pack de auditoria web donde se tratará de acceder a links ocultos, hacer SQL injection en su forma básica y XSS, genera sus propios informes y todo :) proporcionado por Security Compass.

8.- SQL Inject-Me

9.- Exploit-Me

10.- Web Of Trust à Incorpora a tus busquedas en google, bint, etc. un indicador con la confianza que puedes tener al visitar un sitio web.

10 + 1.- Panic Button 1.1.2!! (este ya sabeis para que vale).

Es posible que al final os junteis con un monton de complementos y al final os salgan unas barras minimo como esta, pero a buen seguro ganareis en seguridad y agilidad :-)

Salu2!

*Nota del autor: Un link más completo de Firefox Tunning, lo teneis aquí: http://www.security-database.com/toolswatch/Turning-Firefox-to-an-Ethical.html hay algunos que ya los señalaba yo, y otras que efectivamente se echan de menos, habrá que subir de Top 10 a Top 30 :-)

14 de julio de 2009

Secure Updates

Es de conocimiento general que a pesar de las innumerables medidas de seguridad que aplicamos en servicios, bastionado máquinas, redes, etc. El estado de riesgo conseguido es solo momentáneo, de ahí el viejo dicho de “la seguridad es un proceso”. Como tal debe ser dinámico y adaptarse a las circunstancias del momento, eso también se incluye para las actualizaciones que aplicamos sobre el software con que trabajamos (esté en la capa que esté). Un correcto protocolo de actualización de software es vital en cualquier organización hoy en día, y a las pruebas me remito:

Esto que hoy ha ocurrido para una actualización de BlackBerry en Dubai podría representar que todos nuestros agentes comerciales (y unos cuantos Directores) con sus flamantes BB se quedasen sin teléfono durante varios días. ¿Está este riesgo contemplado en nuestro análisis de riesgos? Es probable que no para los teléfonos, pero si para nuestros servidores, workstation, dispositivos de red, etc.

La política de aplicación de parches es sin duda una de las más importantes para nuestros sistemas de información, si bien los informáticos tenemos tendencia a tener la “ultima moda” tendremos que controlarnos un poco, aunque eso signifique tener nuestros servicios expuestos unos días más a ciertas vulnerabilidades. Es importante mantener una horquilla de tiempo desde la publicación del parche hasta su aplicación, en ese tiempo tampoco debemos estar de brazos cruzados esperando que alguien reporte posibles problemas. Como administradores podemos aprovechar para probar las actualizaciones en entornos controlados, por ejemplo uno donde se Certifique que el cambio no provoca impactos no deseados en los servicios que soportan el sistema parcheado. Una vez que se certifica que la aplicación de un parche es segura (en todos los sentidos) hay que generar un proceso de gestión del cambio apoyado en nuestra Base de Datos de Gestión de la Configuración (CMDB) que contemple un proceso de marcha atrás en caso de que algún incidente no contemplado, de igual forma debe hacerse de forma escalada y controlada. En líneas generales, estas son algunas recomendaciones que no debemos olvidar:

- Todo el software debe estar inventariado.

- Debe existir una política de actualización y control de software.

- Las actualizaciones se obtendrán directamente desde el fabricante, nunca desde terceros.

- Todo parche y actualización debe ser probado en entornos controlados y aislados antes de su aplicación.

- En caso de que la aplicación de un parche genere un riesgo mayor que la exposición a las vulnerabilidades, no se aplicará. No obstante se deberán estudiar medidas compensatorias.

- Las actualizaciones se aplicarán de forma escalada y controlada.

- Se creará un procedimiento de marcha atrás.

Los parches y actualizaciones son importantes para mantener e incrementar el nivel de seguridad de nuestros servicios y sistemas, y al fin y al cabo de nuestro negocio. Pero también pueden ser un riesgo si no se aplican correctamente (ya sea por exceso o por defecto).

Actualizad con moderación! :-)

10 de julio de 2009

Sarbanex Oxley


Cuando hablamos de cumplimiento legal de los sistemas de información en España el 99% del tiempo estamos hablando de la Ley Organica de Protección de Datos (L.O.P.D.) y de la Ley de Servicios de Sociedad de Información y Comercio Electrónico (L.S.S.I.). Estas son las 2 leyes de mayor relevancia que rigen aspectos tan importantes como los derechos que los ciudadanos tienen sobre sus datos así como la forma en que deben realizarse las acciones comerciales por Internet con garantía y seguridad.

Sin embargo estas no son las únicas referencias al cumplimiento legal con las que los Consultores debemos tratar en nuestro día a día. En un mundo global con relaciones comerciales globales y empresas multinacionales no debemos descuidar la legislación de aquellos otros países en los que operamos. Por ejemplo, dentro del mundo de la banca existe un estándar bajo el que deben regirse las operaciones con tarjeta de crédito, es el Estándar de Seguridad de Datos para la Industria de Tarjeta de Crédito (PCI-DSS). En un sector totalmente opuesto tenemos la Health Insurance Portability and Accountability Act (H.I.P.P.A.), grosso modo es una LOPD de datos médicos, este es un pequeño informe en español de un centro médico con el que encontrareis parecidos razonables fácilmente.

Finalmente tenemos la Sarbanex Oxley (SOX), ley que titula esta entrada y por la cual deben regirse todas las empresas que coticen en la Bolsa de Estados Unidos, eso incluye a las extranjeras y sus filiales. En España corporaciones como REPSOL, el Banco Santander, BBVA o Telefonica pueden ser sometidas a auditorias SOX.

¿Por qué surge SOX? La Sarbanex Oxley surge como respuesta ante una serie de escándalos financieros de finales del siglo XX y principios del XXI, siendo el más famoso de ellos el caso ENRON. Esta empresa fue ejemplo de corrupción y fraude fiscal “a pesar” de que los informes de auditoria no mostraban nada de ello. Quizás en estos días de “crisis” y especulación es cuando más podemos acordarnos de SOX, y es que sin una ley similar aprobada por consenso internacional será difícil que esta situación no vuelva a repetirse, aunque esa es otra historia.

¿Por qué aplica SOX a los Sistemas de Información? Actualmente el enorme avance de la tecnología ha propiciado que los sistemas financieros se apoyen sobre los sistemas de información para acometer sus funciones. En tal sentido, los SdI deben garantizar la fiabilidad de la información financiera, por lo que se deben implementar controles específicos para garantizar la fiabilidad de este tipo de información. ¿Cómo implantar controles internos? Volvemos aun más atrás en el tiempo, mucho antes de la aparición de SOX, allá por el año 92 surgió el informe COSO, el cual tenéis disponible aquí y que es punto de referencia para la implantación de controles internos sobre la información financiera:

Sin embargo organizaciones como ISACA tampoco se han quedado atrás y han adaptado COBIT a la SOX. A primera vista parece difícil mapear controles, tengamos una visión holística centrándonos en las aplicaciones que soportan los procesos financieros:

Seguramente ahora os parezca más sencillo, las aplicaciones financieras no son un tipo especial de aplicaciones, los controles que aplicaremos serán bien conocidos, cambio en los programas, control de acceso, registros de auditoria, etc. Partiendo de esta base el “Road Map” que nos lleve a tener un IT Compliance en una auditoria SOX queda bien reflejado en la siguiente imagen:

Aun así siempre quedarán cositas, todo auditor debe hacer un informe al fin y al cabo, pero no debemos tirarnos de los pelos. A grandes rasgos los controles generales a aplicar sobre los SI se centrarán en:

- Control de Accesos: Control de lectura, alta y modificación, perfiles de acceso, procedimientos documentados, registros de auditoría).

- Pruebas de desarrollo y modificación de los SI.

- Control sobre el funcionamiento de los SI (validación de E/S, comprobación de calculos, gestión de errores).

La forma de implantar controles para estas 3 áreas no viene especificada en la SOX (ya sabemos que las leyes no se mojan mucho). Sin embargo podríamos apoyarnos en estándar internacionales, como la ISO 17799 para extender estos puntos o directamente tirar de la lista de controles de Cobit para la SOX, un interesante artículo de Tech Target que profundiza en esta idea lo tenemos aquí .

Y esta ha sido la lectura “veraniega”, espero que os haya gustado.

Salu2!

8 de julio de 2009

ioSafe: Hard Hard Drive

Habría que darle un disco duro de estos a la gente de Brainiac para comprobar que funcionan aunque después de ver el video me quedan pocas dudas:

Este “cacharro” es toda una maravilla para informáticos “descuidados” o para aquellos que no diferencian el tostador del microondas. Es un disco duro externo que va desde los 500 GB a 1.5 TB capaz de aguantar durante 30’ temperaturas de 800 º o varios días en remojo (agua saluda incluida) a una profundidad de 3 metros). Todo con garantía mínima de 3 años por unos 150$ (110 €). Interesante artilugio, de esos que esperas nunca tengan que demostrar sus capacidades :-)

Por que la disponibilidad es una de las piedras angulares de la Seguridad.

Salu2!

7 de julio de 2009

Spider 0.01

Lo bueno de estas fechas es que te puedes pirar 1 semana de vacaciones, volver, y comprobar que todo sigue más o menos donde lo dejaste aunque el centenar de correos almacenados de distintas listas de correo, buzones, amigos que comparten extrañezas y similares se empeñen en llevar la contraria.

Al fin y al cabo 1 semana no es mucho tiempo (de ahí que se pase rapidísima cuando uno tiene los pies en remojo en aguas levantinas), no obstante incluso en vacaciones surgen conversaciones de seguridad o al menos se te ocurren ideas para la vuelta. Así ocurrió cuando tras pasar por Terra Mitica decidimos comprar una de esas fotos que te tiran cuando llevas cara de "Speed". En este caso la compra se tradujo en un ticket con un código donde te metes en un sitio web y tras meterlo te puedes bajar la foto. La estructura del código era la siguiente:

Nombre del Parque: TM (Terra Mitica)

Atracción: Cataratas del Nilo (CN)

Mes: X

Dia: YY

Codigo de imagen: JZZZZ (ZZZZ à [0-9999]

Así por ejemplo TMCN707J1384 será la foto 1384 disparada el 7 de Julio en Cataratas del Nilo en Terra Mitica, ahora bien solo se suben las fotos que son adquiridas, el resto se eliminan (supongo). Al final este código se traduce en una URI que te adentra en un árbol de directorios hasta tu foto:

http://www.sitioweb_empresafotos.com/RIDES/TMCN/702/FullRes/codigofoto.jpg

Entonces me dije, estaría bien ver las fotos de toda la gente que pasó por allí ese día, ya sabes, solo por ver las caras, curiosidad felina, llámalo X. ¿Cómo hacerlo? Lo primera idea que me vino fue preguntarle al malvado Google, que tiene sus arañas por ahí explorando la red de redes, una búsqueda para el sitio con filetype:jpg no me proporcionó nada. Alternativa, listar el contenido de las carpetas: no tengo permisos. Alternativa, bajarme todos los ficheros con un pequeño Script. Problema: llevo sin programar 2 años, ¿me acordaré? Ahora que recuerdo estuve trasteando con el TargetSearch de pentester en PERL hace unas semanas, parece que PERL puede ser un buen lenguaje. Asi es como surgió este pequeño Spider:

#!/usr/bin/perl

#Spider by GigA#

use LWP::Simple;
use LWP::UserAgent;
my $ua = LWP::UserAgent->new;
$ua->timeout(1);
$ua->env_proxy;
use ExtUtils::MakeMaker;

print "Spider 0.01 by GigA\n";
print "We start the download series, $i\n";
my $user = prompt "Proxy user:";
my $password = prompt "Proxy password:";
$ENV{HTTP_PROXY} = 'http://proxy.local:8080';
$i = $i -1;

for($i=1000;$i<2000;$i++){
   $string = '0' x ( 4 - length($i) ) . $i;

my $status = getstore("http://www.sitio_empresa.com/RIDES/TMCN/704/FullRes/J$string.jpg", "J$string.jpg");

if ( is_success($status) )
{
   print "File downloaded correctly\n";
}
else
{
   print "Error downloading file J$string.jpg: $status\n";
}
}

Y con esto nos podemos descargar todos los archivos que sepamos hay en una carpeta de un sitio Web (siempre que tengamos acceso claro):

Le he incluido autenticación por Proxy aunque te funcionará igualmente si no pones nada, viendo la potencia y sencillez de PERL pillarme un librito para aprender realmente será obligación este verano.

¿Cómo mejorar este pequeño script? Ocultando o cifrando los caracteres mostrados en pantalla, permitiendo que detecte y busque en subcarpetas, acelerando el tiempo de las busquedas, etc. Etc. Vamos, todo lo que puede hacer un programa para hacer “site download” pero sin realizar búsquedas en el código de la pagina Web.

¿Sugerencias?

Salu2!