24 de diciembre de 2009

¡Feliz Navidad y Feliz Año Nuevo!

No está bien comenzar una felicitación navideña con una pequeña disculpa, pero estas dos últimas semanas han tenido demasiado ajetreo como para plantearme escribir algo medianamente interesante. Tanto trabajo se alinea con unas fechas en las que al menos a mí solo me apetece estar con la familia, disfrutar del hogar y los amigos y aprovechar el tiempo libre que estas mini-vacaciones y fiestas permiten.

Todo ello significa que voy a tener que hacer una mini-pausa en el blog y hasta mediados de Enero no volveréis a verme, lo siento, sé que me vais a echar de menos (sobretodo algunos compis del tiger-team que tantas veces me inspiran), pero,,, ¡descansad de tanto blog y daros una alegría!, aunque solo sea por que se acabó el año de LaPalabraQueNoVolverémosAPronunciar. Y es que parece que llevásemos toda la vida con esa palabreja, y si no me creeis mirad estos vídeos de Cruz y Raya:





Pero el 2009 se acaba, ¿que decíamos en 2008?, si recordais este año íbamos a hablar de virtualización, de protección antivirus,,, no íbamos mal encaminados. Personalmente creo que a nivel de blog se han conseguido los objetivos, con esta serán 94 entradas, lo que hacen unas 8 de media al mes, más o menos 2 a la semana. Destacaría especialmente tres en este año que creo han sido las que más han gustado:

También ha habido otras cositas que para mí al menos han sido importantes, como la serie dedicada a cuando conseguí sacarme el CISSP "Caminando al CISSP" o la serie de entradas de OWASP que tengo a medias. Un año bastante productivo en líneas generales, ¿de qué hablaremos en 2010?, aquí os traigo una mala noticia, sé que para vosotros es más aburrido, pero hay que hablar más de teoría, la parte de gestión y organización de la seguridad es muy importante y creo que el mercado resultante de LaPalabraQueNoVolverémosAPronunciar es muy consciente de ello, más regularización, más SOX, más PCI, más MIFID, etc. Ahora bien, las entradas "diver" son las de pen-test y análisis forense, por lo que intentaremos no dejarlas de lado (de hecho son con las que más aprendo).

¿Un reto para el 2010?, llevo varias semanas dándole vueltas a dos certificaciones, el Certified Ethical Hacker (CEH) del EC-Council y o el Computer Hacking Forensic Invectigator (CHFI) me interesan bastante, por lo que quizás en unos meses os esté hablando de esas experiencias. También me quiero regalar algún libro de seguridad estas navidades, por ejemplo de análisis Malware aunque hay otros focos que pueden ser interesantes, como la Belleza de la Seguridad. También hay algún que otro proyecto que requerirá refrescar conocimientos de programación (algo que siempre me acaba dando pereza, pero luego resulta satisfactorio), en resumen, muchas ideas para un 2010 que está a la vuelta de la esquina y que pinta muy bien para los Expertos en Seguridad (como ha publicado el Whashington Post) mientras este 2009 que tantas cosas inesperadas nos ha traído (léase Gripe A, léase el sexteto del Barça, la muerte de Michael Jackson, la agresión a Silvio Berlusconi o lo que queráis) se va apagando.

¡Es Ley de Vida!, disfrutad de esta Nochebuena, ¡será la primera del resto de vuestra vida! :-D


Feliz Navidad.

11 de diciembre de 2009

3 Propósitos Seguros para el 2010

¡Hola!

Seamos sinceros, el año está finiquitado. Si estáis a punto de apuntaros al gimnasio, reservad vuestras energías. Si acabáis de adquirir el último curso de Inglés, no os preocupéis, todavía tenéis tiempo (maybe later), con el tabaco ocurre algo parecido, de aquí a cuatro días no se podrá fumar en bares y discotecas, esperad un poquito más y “disfrutad” de vuestras últimas caladas. Guardar todas vuestras energías para empezar el año que viene como un toro, o como una botella de gaseosa, o sencillamente comenzad ya a hacer lo que realmente os gusta, dentro de 20 días tu y yo no recordaremos este post por que estaremos buscando uvas, pensando donde hacer el cotillón, buscando un disfraz de Ramón García, etc. Pero hasta que ese futuro llegue vamos a hacer unas cuantas cosas, son buenas prácticas, recomendaciones que estáis hartos de escuchar, consejillos de la abuela, todo eso que sabes que tienes que hacer y nunca haces, ahí va:

BACKUP

Este viejo concepto, antes lo llamábamos copia de seguridad, que pereza, ¿Verdad? Anda, no es para tanto, clasifica en tu equipo aquella información que realmente has generado tú, los apuntes y prácticas de la Universidad, las tablas Excel con tus cuentecillas, las fotos de las vacaciones y esas 4 cosejas más que todo usuario tiene. Instálate un programa de Backup, pero uno bueno, que permita cifrado, control de versiones, programación de tareas, etc. algo como AceBackup te puede valer, bájatelo, es gratis. Lo instalas, te creas un proyecto:

Y a hacer backup:

Si, puede tardar bastante pero,,, ¿no dejas el equipo toda la noche encendido para bajarte una peli compartir tus archivos? Luego lo vuelcas a un DVD (o 2), lo dejas en una tarrina y te aseguras de memorizar bien la contraseña (¡Invéntate Algún Truquillo De Memorización 2009! IATDM09). Tu disco duro se romperá el 1 de Enero de 2010, el Confincker en su versión Z reaparecerá más maligno y destructivo que nunca, lo perderás todo, si, TU.

PASSWORD

Sé sincero contigo mismo, no sabes ni cuantas contraseñas tienes. Te has dado de alta en tantos sitios que el botón de “forgot passord?” es un “must click” para ti. Haz un pequeño inventario, la del trabajo, la de Windows live, la de gmail, la de Facebook, la de tuenti, la de la universidad, la de tu equipo de casa, la del portátil, el PIN del movil, el de la tarjeta de crédito, tu contraseña de Amazon y Dios sabe que más,,, ¿ya las tienes todas? ¡Bien!, ¡Destrúyelas!, Ahora genera una contraseña robusta, nadie tiene cabeza para tantas cosas. Utiliza una fuertote (12 caracteres alfanuméricos, etc.) y cámbiala en todas tus aplicaciones, espera, este es un blog de Seguridad, no te puedo decir eso, no sería seguro. Vale, hagamos una cosa, utiliza un gestor de contraseñas que haga de memoria intermedia para ti, pero ya que lo utilizas cambia las que realmente te importen y llega al compromiso de hacerlo cada X tiempo, pero ya sabes, sin mezclar el trigo y la paja, ni confundir las churras con las merinas.

PRIVACIDAD

Parece que estamos en los años privados, todo el mundo está muy preocupado por sus datos, a cada semana surgen cuestiones en las noticias relacionadas con la privacidad, las redes sociales, nuestra presencia en Internet, teorías de la conspiración, etc. Y tu, ¿sabes lo que compartes en Internet?, date una vueltecita por 123people, o Yasni o si tienes algo de tiempo libre (quien no se pilla unos días ahora,,,) dale al Google. Sorpréndete, los detectives privados lo tienen chupado contigo, filtra, limpia, borra cosas, quéjate o comparte tu vida entera, pero tienes que saber que es lo que hay por ahí de ti, no por curiosidad, es por tu seguridad.

¿Has visto lo que ha ocurrido estos días con Facebook? Mark Zuckberg anunció que las políticas de privacidad cambiaban, ahora todo el mundo se regirá por las mismas normas:

as Facebook has grown, some of these regional networks now have millions of members and we've concluded that this is no longer the best way for you to control your privacy. Almost 50 percent of all Facebook users are members of regional networks, so this is an important issue for us. If we can build a better system, then more than 100 million people will have even more control of their information.

The plan we've come up with is to remove regional networks completely and create a simpler model for privacy control where you can set content to be available to only your friends, friends of your friends, or everyone.

Esto se traducía en que cuando entrabas te decía, “las políticas de privacidad de Facebook han cambiado, configura tus políticas de privacidad”, y te comparaba las “viejas” y las nuevas, ¡cuidado!, por defecto vas a compartir mucho más que antes (no tengo ningún pantallazo para enseñaroslo), así que leete cosas como esta y configúralo todo a tu gusto bajo esta sencilla regla:


Fijaros con qué poquito uno se toma las uvas mucho más tranquilo,,,

,,, una sencilla entrada mitad offtopic / mitad humor / mitad realidad para remover alguna conciencia, espero que os haya gustado :)

Salu2!

9 de diciembre de 2009

Cajeros ATM "Inseguros"

Hoy os traigo una pequeña curiosidad, si cuando os acercáis a los cajeros automáticos os gusta practicar la seguridad extrema:


Tengo una mala noticia para vosotros, no es suficiente. Como sabéis las autoridades siempre recomiendan cubrir el teclado con una mano u objeto al introducir vuestro PIN, he encontrado unas imágenes del departamento de policía de la Universidad de Texas en EE.UU. (si, yo también me he quedado a cuadros) que definen muy bien el por qué:

Metemos el lector de tarjetas de crédito...

Hay que fijarse bien para notar la diferencia, pero como nunca llevamos prisa no hay problema.

Unos pocos folletos informativos siempre ayudan.

Y ya estamos preparados para comenzar a capturar PINs.

Cuidado en estas fechas de alto consumo ^^

Salu2

5 de diciembre de 2009

Trusted Network Connect

Cuando a principios de Octubre hablamos de Trusted Execution / Trusted Plataform dentro del marco de arquitectura de procesadores segura dimos alguna pincelada de un término que a día de hoy es crucial en toda corporación, Trusted Network Connect.

Actualmente la ubicación del puesto de trabajo es dinámica, y cada vez lo es mucho más. Nuestro personal está sentado en sus oficinas, pero también está desplazado en un cliente y requiere conectividad contra servicios y recursos que tiene en su puesto de trabajo, también viaja y probablemente tanga una BlackBerry o similares con la que necesita revisar el correo corporativo, esto es solo la punta del iceberg: No todos los empleados son iguales, hay desarrolladores, gente de sistemas, comerciales, jefes, gerentes y directores. Becarios recién contratados y externos, muchos externos, ya que también hacemos Outsourcing. Este personal ajeno también necesita conectividad para dar su servicio, es más, probablemente lo hará todo desde sus propias oficinas o quizás tengamos un hueco para ellos en nuestra empresa.

El perímetro de la organización es maleable y se corre el riesgo de que no se puede dar una solución de acceso a sistemas y servicios segura y robusta. En definitiva, un problemón para los arquitectos de red y el personal de seguridad que requiere de soluciones. Es aquí cuando entran en juego los accesos de confianza.

El Trusted Computing Group da una serie de directrices genéricas independientes de la tecnología para orientarnos un poco en como deben ser esos accesos.

Network Access Control

Este concepto simplificado al extremo trata de que un “cualquiera” que llegue a tu organización no sea capaz de enchufarse a tu red bien, por que ahí hay una roseta vacía o bien por que la Wifi está abierta a invitados. Esto hoy en día es sencillamente intolerable, pero el NAC va mucho más allá definiéndose como un conjunto de medidas de seguridad que nos aseguren que solo accederá a nuestra red aquel que tenga los correspondientes permisos y cumpla con un mínimo de políticas de seguridad, NAC es:
  • 802.1X
  • DHCP
  • VPN
  • Cumplimiento GpO.
  • Actualizaciones y parches del Sistema Operativo.
  • Antivirus actualizado y homologado.
Pero esto no es todo, debemos ser capaces de proveer u
na infraestructura de acceso que a parte de cumplir con todo lo anterior sea capaz de dar acceso a los recursos necesarios según el perfil / rol del usuario, esto se debe apoyar de forma indudable en una arquitectura de red segura (con todo lo que implica a nivel de VLANs, firewall, routing, etc.). Además los permisos de acceso deben ir alineados con los recursos accedidos, probablemente una persona de desarrollo necesite ser administrador en su equipo y trabajar en un entorno aislado alejado de producción, de igual forma se debe evitar que un administrador de BBDD sea capaz de modificar los datos que gestiona, siendo esta capacidad exclusiva de sus usuarios (esto creo que lo llamaban segregación de funciones).

Ahora bien, todo esto no es nuevo, las conexiones de confianza pueden llegar mucho más lejos y alcanzar a todos los dispositivos de mi red, impresoras, telefonía VoIP, cámaras de seguridad, etc. cuya actividad también deberá estar regulada. De manera adicional se instalarán sondas, IDS/IPS que controlen y detecten la actividad de los dispositivos / usuarios en la red, aquí es cuando surge un elemento adicional, el IF-MAP (Interface Metadata Access Point) Para no perdernos echemos un ojo a la siguiente imagen:


En la misma tenemos nuestros clientes “de confianza”, seguridad a nivel de red 802.1x, switches, routers, radius, firewalls, Policy Decision Point y, como capa adicional antes de llegar a los controles de seguridad aparece IF-MAP, ¿Qué es esto?, Con IF-MAP tenemos un protocolo cliente – servidor basado en XML y que utiliza SOAP + HTTPS. Su misión principal es recolectar datos de los dispositivos de red, metadatos que nos den una idea de quien es, a qué accede, que está solicitando y haciendo, etc. La estructura de los mensajes que maneja es la siguiente:
  • ip-adddress (v4 or v6)
  • mac-address
  • identity aik-name:
  1. dns-name
  2. email-address
  3. kerberos-principal
  4. trusted-platform-module
  5. username
  6. sip-uri
  7. tel-uri
  8. other (vendor defined)
  • access-request
  • device
Como imagináis esto abre un abanico de posibilidades a la hora de controlar los accesos a la red que delega en el Metadata Access Point controles de seguridad que en tiempo real detectan accesos inapropiados, dispositivos que tratan de acceder a recursos que no deben, alarmas (falsas o no) alineadas con el resto de dispositivos, etc. No han sido pocos los fabricantes que se han subido al carro del IF-MAP, en esta pequeña diapositiva se pueden ver algunos de ellos.

El paradigma de acceso a la red seguro con un servicio de confianza está cambiando continuamente, hay mucha tela para cortar aquí ya que estamos hablando de confianza extremo a extremo, multitud de capas de acceso, ingeniería de conocimiento y redes bayesianas para decidir cómo actuar sobre un dispositivo, etc. Por suerte hay mucha información disponible en la red, herramientas Open Source como FreeRadius, OpenSea 802.1X, el proyecto libTNC, etc.

Precaución, amigo conductor (happy bridge).

Salu2!

1 de diciembre de 2009

Black Screen Of Death

Hay días -muy pocos por suerte- en que es peor el remedio que la enfermedad. Esto también se aplica en el mundo de la Informática y concretamente en el Software no puede ser obviado. Parece ser que el último boletín de parches de Microsoft provoca un Black Screen,,, pero sin death (BlSoD), es decir si el usuario hace Ctrl + Alt + Sup puede acceder al administrador de tareas y ejecutar algunas acciones. Esto obviamente puede ser un dolor de cabeza para los técnicos de microinformática, administradores, etc.

Al parecer en la publicación de parches de seguridad del 10 de Noviembre se modifican reglas ACL de Windows que impiden el acceso al registro e invalidan determinadas entradas del mismo, estos parches tenían como objetivo corregir la vulnerabilidad MS09-065 donde se detectaba un bug en el kernel de Windows (XP, Vista, 7, Server 2003, Server 2008), ahora bien el parche provoca el temido BlSoD en algunos equipor por lo que llega el eterno dilema, ¿actualizar o no actualizar?, ¿tapamos unos agujeros para que nos salga un fuego?

Está claro que la única solución es alcanzar un equilibrio aristotélico, asumimos los riesgos durante un pequeño periodo de tiempo equivalente a probar las actualizaciones en un entorno aislado, comprobar que no existen incompatibilidades con nuestro software, etc. Después parcheamos y carretera.

Si por casualidad habéis tenido este problema la empresa que lo denunció (Prevx) ha publicado un pequeño parche que lo soluciona (¡antes que Microsoft!), yo no lo he probado (quizás no actualizo tan a menudo :-( ) pero si os animáis está aquí.

Adjunto imagen del comentado BISOD, no confundir con las típicas postales de “Cuenca de noche” o “Tenerife de noche” -->

Salu2!

NdA: Como habréis visto a través de meneame parece ser que al final la "culpa" de estos pantallazos no la tenían las actualizaciones, tal y como relata la gente de Prevx tiene que ver con la manera en que Windows almacena los Strings en el registro de Windows, requiriendo un carácter Null para finalizar el string, si ese carácter no aparece pueden surgir errores al leer los datos y no poder determinar cuando finaliza la cadena, de ahí el BlSoD. Las actualizaciones no están directamente relacionadas, lo que no significa que cierto software que acceda de forma incorrecta al registro provoque estos errores, lo que sí se ha demostrado es que el parche de Prevx funciona,,, en SysInternals tenéis un programa-demo de este error.