6 de julio de 2011

Facebook Forensics Paper y algo más...

Ayer me encontré este divertido paper, y digo divertido por que realmente me pareció que muestra cosas curiosas acerca de esta popular red social. Incluye también bastantes datos que por el hecho de conectar nuestro iPhone o teléfono con Android podemos obtener (siempre y cuando tengamos la aplicación instalada claro).

Merece la pena echarle un vistazo.

Dicho esto una breve aclaración para mis tres o cuatro lectoras, allá por el mes de Enero inicié una maravillosa aventura, la escritura de mi primer libro (no tecnológico, se entiende). Desde entonces y gracias a los consejos de algún compañero bloguero (ejem, lobosoft) he consumido mi tiempo libre en tan gran reto, mi escasa pericia en el arte de las letras acompañada de mi perseverancia ha conseguido que esté prácticamente a punto de terminarlo, con lo que este gran proyecto (que espero publicar aquí) llegará a su fin. Aunque solo para poder adentrarme en otro nuevo, mucho más grande y que no tiene nada que ver. ¿Significa esto que "Todo es seguro" muere?, bueno, digamos que ya llevaba meses criogenizado y así va a seguir una buena temporada.

Por supuesto sigo dedicándome a la Seguridad a diario por lo que no descarto que un día... :)

Muchas gracias a todos.

23 de marzo de 2011

Facebook Security Tips

Hace unos días me encontré con lo impensable, ese familiar que solo utiliza el teléfono para llamar y mandar "eseemeeses", se quería hacer mi amigo y que le explicara todo eso, ¿por qué la gente ve mis fotos?, ¿que hago para que no me etiqueten?, ¿que es el muro?, como creo que a todos os ha pasado y seguramente queréis ahorraros el quebradero de cabeza, me he ido al menú principal y opción por opción, este es un fast hardening dentro de lo que la red social permite:

1 – El nombre.

¿Seguro que te llamas como quieres llamarte?, fíjate en que será muy fácil para cualquier persona localizarte si utilizas tu nombre real, si te inventas otro nombre lo que ocurrirá será lo contrario, quien quiera encontrarte no lo hará. ¿Qué hacer?, yo siempre prefiero no utilizar el nombre real pero si uno parecido o que pueda generar dudas, en todo caso si configuras tu privacidad correctamente no debería ser un problema que tengas tu nombre real. También podemos utilizar nuestro mote, apodo o nick que sea familiar para nuestros amigos y conocidos para que nos busquen por él, Facebook lo permite:

2.- E-mail, password, cuentas asociadas:

Aquí llega la primera opción importante para conservar tu privacidad, quizás no te importe tener 1 millón de amigos, pero que alguien que no conoces pueda asociar tu cara, tu nombre y tu correo electrónico le puede dar muchas facilidades para contactar contigo. Desactiva la visibilidad de tu dirección de e-mail en cuanto puedas, así solo la tendré quien tu quieras.

Con respecto al password Factbook no es muy restrictivo, 6 caracteres y una recomendación de no compartirla con otras cuentas. Las contraseñas de menos de 8 caracteres son fácilmente rotas aunque hables en suajili, si no te lo crees te remito a las pruebas, finalmente no te recomiendo asociar ninguna cuenta a la de Factbook, sino cada vez que abras sesión por ejemplo en Yahoo la abrirás en Facebook, con los dolores de cabeza que eso puede originar.

3. Privacidad – Conectarse a Facebook:

Aquí gestionas lo que puede verse de ti y quien lo hará. Es sencillo, las distintas opciones pueden verlas todo el mundo, amigos de tus amigos o solamente amigos. Lo ideal salvo que seas un comercio y quieras publicitarte es que solo tus amigos puedan ver tus “detalles”, siendo incluso algo más estrictos con respecto a direcciones físicas, teléfonos, etc. Esto yo lo restringiría a familiares y amigos o directamente no lo pondría, total quien te conoce de verdad ya lo sabe. Una opción no demasiado paranoica es la siguiente:

4. Privacidad – Compartiendo en Facebook:

Volvemos al menú principal, aquí salen las 4 opciones de las que hablamos antes, seleccionamos “Custom” y editamos manualmente que compartimos y con quien según nos parezca. Si pulsamos en editar las opciones vemos varios apartados:

- Cosas que yo comparto: Seleccionamos amigos solo. Muy importante no habilitar “Gente aquí ahora”, pues puede revelar tu ubicación física a terceros.

- Cosas que otros comparten: Aquí editas lo que la gente puede ver de un amigo que haya escrito de ti, lo suyo (y para eso es una red social) es que tus amigos vean lo que tus amigos dicen de ti o si te etiquetan, ahí está la gracia, pero si no se la ves pues impedirlo aquí. Muy importante deshabilitar que otros puedan ubicarte físicamente:

- Información de contacto: Mejor prevenir que curar, seleccionar “solo yo” puedo ver mi información de contacto.

Antes de pasar al siguiente apartado hay una opción para previsualizar nuestro perfil, si la pulsamos sabremos como “quien no nos conoce” nos ve en Internet (cualquiera), te aconsejo revisarlo para que tengas la total certeza de que solo se ve lo que tu quieres que se vea (al fin y al cabo es Internet, nunca saldrá de ahí).

5 – Privacidad - Aplicaciones y sitios Web.

Dentro del menú de privacidad, en la parte inferior hay una opción de configuración para aplicaciones y sitios web. En Facebook como sabéis hay un montón de aplicaciones graciosillas como la granja, la galleta de la obviedad y miles de millones con las cuales pasar el tiempo. Lo mismo ocurre con los sitios web de publicidad que pululan por la red social. Lo que mucha gente no sabe (quizás por que no se advierte muy bien) es que al utilizar cualquier aplicación le das derecho a que ésta vea de ti y extraiga cualquier dato, eso significa que por ejemplo detrás de una aplicación de un concurso de cerveza haya una campaña encubierta para extraer datos de marketing de potenciales consumidores (TUS datos). Yo no recomiendo utilizar ninguna aplicación pero, leñe, hay que divertirse de vez en cuando. Entonces aplicaciones SI pero…

- Deshabilítalas después de utilizarlas. Hay un botón para “apagarlas” todas que viene la mar de bien, aunque quizás hay algunas como el calendario de cumpleaños que quieras dejar…

- Información visible a través de tus amigos. Las aplicaciones son tan peligrosas que incluso el hecho de que un amigo juegue a la granja puede significar que, aprovechando los permisos de tu amigo, la aplicación extraiga también tus datos (¡!). Deshabilítalo todo:

- Hay otras opciones como la personalización instantanea que ahora mismo no se pueden deshabilitar en España. En el momento que se pueda conviene hacerlo ya que influye en la experiencia de navegación en tus páginas web, que aprovecharán el contenido de Facebook para adaptar su publicidad y ofertas.

6 – Privacidad – Listas de bloqueo.

Por desgracia en Internet igual que en la vida real hay personas pesadas, cansinas, al estilo de Jose Mota:

Si queremos que alguien no nos moleste, nos mande mensajes, nos cansinee, sea usuario, aplicación, grupo en el que entramos por error. Este es el lugar:

Con respecto a la privacidad por ahora no hay más, aunque si queréis leeros los manuales de Facebook están aquí .

7 – Seguridad de la cuenta.

Aquí hay una opción básica, activar el http-s para que al menos no sea trivial capturar tus conversaciones en Facebook con herramientas como Bogorove. Las notificaciones cada vez que alguien abra una sesión en tu cuenta de Facebook también son imprescindibles.


8 – Network: Aquí podemos integrar nuestra red de contactos profesionales con facebook, por ejemplo si trabajamos en Accenture introduciendo una dirección de correo “válida” mezclaremos ambos mundos. Totalmente desaconsejable, para eso hay cosas como Linkedin o Yammer.

9 – Notificaciones: Aquí no hay nada que sea principalmente de seguridad, las notificaciones por SMS en España no funcionan (¿?). Yo recomiendo solo recibir notificaciones ante solicitudes de amistad o mensajes personales, para todo lo demás ante una conversación enrevesada que quizás ni te importe se te puede desbordar la bandeja de entrada, convirtiéndose en SPAM.

10 – Pago: ¿De verdad vas a comprar algo a través de facebook?, por favor, ni te lo plantees (aunque si lo haces la plataforma que ofrecen cumple con los objetivos).

11 – Publicidad de Facebook: ¿Te gusta que utilicen tu cara para hacer publicidad?, a mi tampoco. Aquí se deshabilita:

Y esto es todo, perfectamente extrapolable a Tuenti o la red social que utilicéis, ahora, socializaros de forma segura :D

Un saludo.

PD: ¡Cumplimos 200 entradas!,, quien me lo iba a decir hace unos años…

16 de marzo de 2011

Snow Leopard Fast Hardening

Tras 16 años utilizando equipos WINTEL, con pequeñas escaramuzas sobre Linux y algún clon de Unix hace un par de meses pasé al mundo MAC adquiriendo un IMac. La experiencia positiva con el Iphone 3G, único teléfono que me ha durado más de 18 meses (a día de hoy va camino de los 30 y lo que te rondaré morena), me decidí a dar el paso y sin tan siquiera probar una máquina virtual con el famoso MAC OS X (en cualquier de sus versiones de la jungla puma, jaguar, tiger, leopard, etc.) me lancé a la Apple Store y encargué mi “manzanita”.


Y con ella llevo más de dos meses contento y feliz, ningún problema de compatibilidad, videojuegos de Steam, una gran biblioteca software, mi Virtual Box para esas máquinas virtuales, la vida me sonríe en una pantalla de 21.5’’. O no, por que no podía creer que tuviera algunos fallos de configuración segura propios del comienzo de Windows XP, arremangado me cogí la guía de Snow Leopard Secure Configuration y di un cocotazo contra la mesa al ver las 272 páginas de seguridad. Buscando un poquito no encontré un “Proteja a su Leopardo en 10 pasos” (no vaya a coger frío con la snow :-p) así que me dije, voy a dejar aquí lo más interesante. En mi opinión es esto:

Mac OS X 10.6 Hardening 10 Tips:

1.- ¡Habilite la autenticación!: Esto quiere decir, que esté deshabilitado el login automático, que no se provea información de los usuarios del sistema en la pantalla de inicio, también podemos habilitar access warnings o bloqueo ante intentos reiterados, pero es algo más complejo. Lo sencillo, en General à Cuentas à Login Options

2.- ¡Habilite el protector de pantalla!: Esto es muy recomendable, no solo por ahorrar energía, siempre que nos levantemos del equipo este debe estar bloqueado. Podemos habilitar el protector de pantalla por ejemplo, a los 5 minutos y que solicite autenticación a la vuelta. Como aquí no existe la combinación Windows + L para bloquear la pantalla deberemos configurarlo nosotros, lo más sencillo es hacerlo a través de una de las esquinas:

3.- ¡Habilite el firewall!,,,¡y el Stealth Mode!: Pues si, el Snow Leopard viene con el firewall deshabilitado por defecto. Así que corriendo a General à Seguridad à Firewall a habilitarlo. También conviene que bloqueemos todas las conexiones entrantes o al menos que nos salte un warning. Un modo también recomendable a activar es el “Stealth Mode”, que hará al equipo “invisible” en la red. Esto es, que no responderá a tráfico ICMP. También tenemos un firewall de aplicación para permitir solo las conexiones de software firmado, muy recomendable.

4.- Instale un antivirus. Esto es básico, si todavía crees que en MAC OSX (Unix)no hay malware tengo una mala noticia. Hay, y cada vez habrá más, como desde Seguridad Apple nos contaban no es comparable con Windows por ahora pero si Steve Jobs se sigue esforzando en vender manzanitas, no tardará. En la página de Apple hay decenas de herramientas de seguridad, algunas antivirus, entre los gratuitos me gusta mucho el Sophos, curiosamente me detectó un troyano de Windows hace unos días :D

5.- Deshabilite la compartición de recursos (¡también en Itunes!). No es bueno ser tan generoso, deshabilita la compartición de recursos, carpetas, impresoras, todo. Deja exclusivamente lo que necesites, también en Itunes, por suerte hay algunos impresentables que NO lo hacen.

6.- Deshabilite los servicios no necesarios. Entre servicios no necesarios pueden ser de red (Bonjour), pero yo también metería aquí el Bluetooth, infrarrojos, wifi, etc. La regla es sencilla, si no lo utilizas no lo habilites.

7.- ¡Actualizaciones automáticas!. Actualizar, actualizar y actualizar, hasta que parezca que vengas del futuro. Está a dos clicks desde la manzanita de la esquina ;-) El equivalente de Secunia para Leopard o lo más parecido que hay es la MAC Apple Store (esto lo estoy suponiendo, no la tengo instalada) te revisará todo lo que hayas adquirido.

8.- ¡Habilite Firmware Password Utility! El EFI (Extensible Firmware Interfaz) en los equipos de Apple es el equivalente a la BIOS que todos conocéis. También debemos protegerla sobretodo para garantizar que no arranquen desde unidades externas o nos realicen ataques relacionados con la seguridad física. Esto deberemos realizarlo por el terminal de comandos:

9.- ¡Cifre!, ¡Cifre por Dios!. Gracias a la utilidad FileVault podemos cifrar todos nuestros documentos, mejor dicho, todo lo que tengamos dentro de “Mis Documentos”. Me consta que utiliza el algoritmo simétrico AES 256 bits, por lo que podemos estar relativamente tranquilos si no utilizamos una contraseña de diccionario y a pesar de algunos ataques que ya os conté por aquí. Este proceso tara un poquito la primera vez, por lo que es recomendable activar el FileVault desde el día 0. También podemos habilitar el cifrado de la memoria virtual que cifrará la partición SWAP.

10.- Concienciación. Siento defraudaros, no existe la medida 10, iba a introducir algo un poco raro como “deshabilitar las búsquedas de sistemas sobre nuestras carpetas más confidenciales” pero es un absurdo. La seguridad al fin y al cabo está en el usuario, en no abrir esos correos de procedencia dudosa, en no instalar el software que nos encontramos en redes P2P, en utilizar credenciales previsibles, en tener concienciación de que hay muchas cosas que nos podemos jugar a la hora de utilizar un ordenador, sea para disfrute personal o para el trabajo, es preciso que el usuario (tu, tus amigos, tus familiares) esté sensibilizado de las distintas amenazas que subyacen por el mero hecho de utilizar la tecnología, sea un ordenador, un teléfono, un GPS o una PlayStation 3.

Quizás os sepa a poco, podríamos hablar de borrado seguro de datos, de seguridad en Time Machine, de proteger las conexiones bluetooth,,,etc. Pero me conformo con que 3 o 4 de esos lectores habituales implementen estas 10, si todavía no se sienten seguros siempre pueden acudir a la guía oficial, coger los 272 folios y … ¡suerte!

Un saludo, en especial a esos pocos lectores que según veo por aquí, tengo desde Japón. Animo y un fuerte abrazo.

23 de febrero de 2011

¡Luchamos contra el fraude!... a nuestra manera.

Como supongo que todos vosotros, de vez en cuando compro por internet, es cómodo, ágil, rápido y requiere de un esfuerzo físico cercano a 0. ¿Por qué no hacerlo?, además si eres un consumidor responsable que sigue los consejos básicos de seguridad y precaución, o no se, te gusta jugar a las 7 diferencias con páginas de phishing por que estás aburrido ya de darle a la granja del Facebook pues, mejor que mejor. Incluso si tu negocio está en Internet hay muchas guías básicas para decirte como tienes que proteger los datos de tus clientes, como cumplir con los requisitos de seguridad que las normativas internacionales exigen, por ejemplo esta guía de INTECO es de mucha utilidad, aunque los propios emisores de tarjetas de crédito / débito tienen sus propias guías también, más o menos la referencia es el Payment Standard Industry (PCI-DSS) del cual se publicó la versión 2.0 en Octubre del año pasado y que ya adelantamos por aquí.

En definitiva, Internet es algo bueno, cómodo, con la sensibilidad y responsabilidad conveniente con respecto a las distintas amenazas puede ser tan seguro como ir a la tienda física real. Entonces, ¿por qué los comercios lo vuelven inseguros?, lo mejor de todo es que lo hacen para cumplir con directrices que en teoría vienen impuestas por MasterCard, Visa, etc. Y nos plantan clausulas como las siguientes:

Para evitar fraudes con tarjetas que hayan sido captadas en establecimientos físicos, XXXXX puede solicitar documentación adicional que certifique la identidad del comprador.”

Es decir, que aparte de pedirte todos tus datos personales, los datos de tu tarjeta de crédito y número de seguridad, luego te solicitan más datos. Fue en una conocida casa de apuestas la primera vez que me ocurrió esto, no había problema para iniciarte en el mundo de la ludopatía, metías tus 30€, te daban otros 30 de bienvenida y a volverse rico. Sin embargo, oh sorpresa, te disponías a retirar tus cuantiosos beneficios y te lo prohibían bajo esta condición:

Debido a la política de MasterCard, ya no es posible realizar reintegros de fondos en una tarjeta MasterCard (crédito o débito) registrada fuera del Reino Unido. Como resultado, su tarjeta debe ser "validada" antes de que usted pueda realizar cualquier reintegro de sus ganancias mediante un sistema de pago alternativo tal como una transferencia bancaria. Esto se indica mediante S (validada) o N (no validada) debajo de su tarjeta. Su tarjeta se valida automáticamente después de su primer depósito, o manualmente si envía prueba de titularidad de la tarjeta.

¡Pardiez!, ¿Qué es esto?, cegado por mis múltiples ganancias accedí a lo que un señor amablemente me pidió por correo electrónico: DNI escaneado por las dos caras y Tarjeta escaneada (solo por delante).

No le di más importancia, paranoia de estos ingleses, vete tu a saber. Hace 1 mes sin embargo fue el fin de semana “SIN IVA” en múltiples establecimientos, la competencia hizo que algunos superaran ese 18% de descuento llegando incluso a ofrecer un 20% en primeras marcas de tecnología (ejem, apple). Cual es mi sorpresa cuando tras comprar un portátil y cargármelo en mi cuenta bancaria en escasas horas, 3 días más tarde, me piden “verificar mis datos” por correo electrónico. Esta fue mi respuesta, un poco en caliente y poco técnica como se ve:

Disculpen mi insistencia pero no veo sentido a que por un procedimiento de seguridad se solicite información para confirmar un pedido cuando ustedes ya lo han cobrado, supongamos que efectivamente estoy suplantando la identidad de una persona, ¿le van a devolver el dinero?. No quisiera poner en duda sus procedimientos pero es efectivamente la solicitud de esta información la que levanta sospechas sobre un presunto phising, scam, etc.

Les remitiré la información que solicitan pero por favor, revisen este procedimiento que en lugar de facilitar al cliente recibir el producto en su casa lo entorpece. Si hubiese venido especificado en la página web habría ido al local comercial de XXXXXX sin dudarlo o habría realizado mi compra en otro lugar.

A lo que me remitieron a la página de condiciones donde lo ponía bien grande y en negrita:

Pago con Tarjeta de Crédito :
Aceptamos el pago con las principales tarjetas de crédito (Visa, Mastercard, 4B, American Express). En el proceso de compra se le pedirá tres datos, Número de tarjeta, Fecha de caducidad y su número identificativo o CVC2. En determinados casos, y para evitar fraudes con tarjetas que hayan sido captadas en establecimientos físicos, XXXXX solicitará documentación adicional que certifique la identidad del comprador.”

Nada que objetar, como buen consumidor, no leo las clausulas (prometo mejorar). Ahora bien, como consultor de seguridad me irrita, ¿introduce este procedimiento más seguridad?, ¿genera nuevos riesgos?, la respuesta es SI a ambas preguntas. ¿Por qué?, por que estás enviando tus datos personales y tu información bancaria a través de un canal inseguro (Internet), con todo lo que ello supone y que no explicaré aquí. Ahora centrémonos en alguna de las cosas que estas compañías deben cumplir para gestionar, almacenar y tratar esos datos:

- L.O.P.D.

- PCI-DSS

La LOPD y en concreto su reglamento de medidas de seguridad dice en su artículo 104:

La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Lo que ocurre es que esto solo aplica a datos de nivel alto (lo que podríamos discutir largo y tendido, pero “es lo que hay”), así que con esto en principio cumplen ya que sería difícil sacar datos de salud, vida sexual, etc. de una casa de apuestas o de una tienda de informática. Eso si, en caso de hacer compras en un sex-shop, encargar un Corán en Amazon o meter todos los dias 200€ en la casa de apuestas podremos deducir algo de eso. Pero supongamos que la AEPD les da la razón en esto último, DNI y tarjeta de crédito, todo junto, son datos de nivel medio pues suponemos que entran dentro de los datos financieros que indica la LOPD, si nos ponemos quisquillosos quizás de nivel básico. Con todo ello seguiremos teniendo un artículo que indica dos requisitos de seguridad:

- Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados.

- Concesión de permisos de acceso sólo por personal autorizado.

¿Se puede asegurar esto en datos enviados a través de líneas públicas?, NO.

Ahora nos vamos al PCI-DSS 2.0, un solo requisito nos hace falta:

"Encrypt sensitive traffic over public Networks."

Está claro que con este requisito se cumple cuando utilizas la aplicación de compra, normalmente y dependiendo de la tienda surgirá un pop-up (seguro) de una tercera aplicación que hará de pasarela entre tu banco y el de la tienda, si es 3D Secure te pedirán un password y fin de la historia. Si no lo es y para luchar contra el fraude te pedirán que confirmes los datos, pero no te ofrecerán un mecanismo seguro para hacerlo, bastaría con que en tu perfil de usuario de la tienda se disponga de la capacidad de cargar los ficheros de tus datos escaneados, sobre HTTP-S por ejemplo, autenticando que el servidor al que estamos escribiendo es quien dice ser. Pero no, se valen del robusto protocolo SMTP para pedirte que les mandes todo, ¿así se lucha contra el fraude?, ¿a consta de quien?

La mayor de mis críticas a este tipo de procedimientos de seguridad que hacen flaco favor a su nombre y a la seguridad del comercio electrónico, además bajo un dudoso cumplimiento de la legislación actual y los estándares de pago electrónico.

Salu2

16 de febrero de 2011

Controles de Seguridad en la nube.

¡Buenos días!, hoy os traigo un pequeño documento que puede ser las delicias de muchos consultores de seguridad. Seguramente en vuestra empresa también estén migrando “a la nube”, no precisamente por que la gente esté en la parra, sino que por que es una moda tecnológica con consabidos beneficios económicos y de rendimiento que no analizaré. El problema es como adecuar la seguridad de nuestros sistemas tradicionales a la nube, ¿cómo debo modificar mis controles de seguridad?, ¿Qué nuevos requisitos debo considerar?, bueno los análisis más simplistas dirán “todo es igual” solo que virtualizado, aplica los mismos controles que tenías antes, eso nos puede dejar medianamente satisfechos pero no es del todo cierto. Para que lo comprobéis os dejo este Excel que, aunque se queda a muy alto nivel, os puede ser de mucha utilidad. Os explico por qué:

Control DG-07

“Security mechanisms shall be implementd to prevente data leakage”.

Áreas de Implementación:

SaaS, IaaS, PaaS, Service Provider

  • COBIT à COBIT 4.1 DS 11.6
  • ISO/IEC 27001:2005 à A.10.6.2, A.12.5.4
  • NIST à NIST SP800-53 R3 AC-2, NIST SP800-53 R3 AC-3, NIST SP800-53 R3 AC-4, NIST SP800-53 R3 AC-6, NIST SP800-53 R3 AC-11, NIST SP800-53 R3 AU-13, NIST SP800-53 R3 PE-19, NIST SP800-53 R3 SC-28, NIST SP800-53 R3 SA-8, NIST SP800-53 R3 SI-7
  • PCI-DSS à PCI DSS v2.0 3.1, PCI DSS v2.0 3.1.1, PCI DSS v2.0 3.2, PCI DSS v2.0 9.9.1, PCI DSS v2.0 9.5, PCI DSS v2.0 9.6, PCI DSS v2.0 10.7

En la lista de 100 controles propuestos, mapeados con diferentes dominios (que no coinciden con los de la ISO 27000, aunque son parecidos), te indica donde es obligatorios que lo implantes si quieres cumplir a su vez con los controles del resto de normativas o estándares de referencia. Por tanto desde el punto de vista del Gobierno de la Información así como de garantizar el cumplimiento con las distintas auditorías este Excel que tan bien se ha trabajado la Cloud Security Alliance puede ser el maná.

Salu2

PD: No dejéis de ver otros documentos como la guía de la nube o las amenazas sobre esta (por ejemplo, que los chinos te bombardeen para sacarte el agua).

13 de enero de 2011

Y ahora que soy CEH...

Han pasado varias semanas desde que tuve el examen de Certified Ethical Hacking en uno de los muchos centros Prometic que hay en España y, por fortuna para mi, pude aprobarlo. Tal y como os contaba en Agosto del año pasado esta certificación está bastante bien para no perder de lado el área más técnica de la Seguridad Informática, en sus 67 (al final son 67) módulos ves desde SQL Injection hasta las nociones básicas del desarrollo de exploits, como y en que consisten los buffer overflow (y como aprovecharlos para inyectar código propio), fingerprinting, detección de vulnerabilidades, XSS, cyberterrorismo, bluejacking, etc. etc. El temario como digo es bastante atractivo, pero como ocurre con todas las certificaciones no es necesario ser un verdadero experto para sacársela, de hecho hay una vía rápida:
  1. Pida usted el temario del CEH (versión 6.1, la última por favor) a alguno de sus miles de amigos mediante programas bittorrent o similares.
  2. Ignore el susodicho temario.
  3. Acuda a www.examcollection.com, realice una búsqueda de CEH Exam Test.
  4. Memorice las preguntas.
  5. Pague el examen, preséntese a hacerlo, el 80% de las preguntas coincidirán.
Que como pueden imaginar no es muy gratificante intelectualmente pero obtiene el mismo resultado que:
  1. Obtenga el temario.
  2. Comience por el tema 1, muera usted en el tema 2 cuando repase la legislación internacional sobre seguridad informática.
  3. Anímese, ya le quedan 65 temas.
  4. Pruebe las más de 2000 herramientas referenciadas en el material, móntese su laboratorio, aprenda, aprenda, aprenda, aprenda, vuelva al paso 3 y temas --;
  5. Hago los test disponibles en Internet. Descubra que no sabe realmente mucho ya que no pasa de un 65%, memorice.
  6. Preséntese al examen y obtenga su título.
No os diré que camino seguí yo, pero lo cierto es que el título está bastante chulo (subiré una foto en cuanto pueda), tras aprobar y acreditar tu experiencia de 2 años en seguridad de la información (necesitaréis que vuestro responsable realice un escrito a EcCouncil) te mandarán una carpetita desde Hong Kong (menuda cara puso el cartero de mi pueblo) con vuestra merecida recompensa. El examen requería de un 70% de aciertos para aprobar, en la media de todas las certificaciones, se hace por ordenador y aunque tienes 4,5 horas para terminarlo en 2 te da tiempo repasando. Todo en perfecto inglés, eso sí.

Y ya está, con la alegría y gozo que proporciona el conocimiento lo siguiente que uno tiene derecho a preguntarse es, ¿le puedo sacar provecho económico a esto?, recuerdo que en EcCouncil, en la sección FAQ había una pregunta,,, ¿cuanto puedo cobrar por tarea?,,, donde respondían que dependiendo del trabajo entre 15.000 y 45.000 $, que no está mal, pero esto es España y bueno,,, somos distintos (aquí hay muchos dires y diretes que nos alejarían de lo interesante), volvamos al tradicional método de búsqueda y comparemos de paso con otras certificaciones:

Infojobs
  • CEH: 3 ofertas encontradas.
  • CISA: 32 ofertas encontradas.
  • CISM: 24 ofertas encontradas.
  • CISSP: 21 ofertas encontradas.
  • CHFI: 2 ofertas encontradas.
  • Lead Auditor: 3 ofertas encontradas.
  • ITIL: 221 ofertas encontradas.
  • COBIT: 23 ofertas encontradas.
Tecnoempleo:
  • CEH: 0 ofertas encontradas.
  • CISA: 10 ofertas encontradas.
  • CISM: 10 ofertas encontradas.
  • CISSP: 5 ofertas encontradas.
  • CHFI: 0 ofertas encontradas.
  • Lead Auditor: 0 ofertas encontradas.
  • ITIL: 126 ofertas encontradas.
  • COBIT: 9 ofertas encontradas.
Monster:
  • CEH: 0 ofertas encontradas.
  • CISA: 2 ofertas encontradas.
  • CISM: 2 ofertas encontradas.
  • CISSP: 4 ofertas encontradas.
  • CHFI: 0 ofertas encontradas.
  • Lead Auditor: 1 ofertas encontradas.
  • ITIL: 8 ofertas encontradas.
  • COBIT: 2 ofertas encontradas.
Bueno parece que el CEH no es la certificación más famosa en España, a pesar de que la demanda de servicios de hacking ético ha subido (aunque esto es una opinión personal),,, eso sí, el movimiento se demuestra caminando. En el Top 3 se mantienen CISA, CISM y CISSP, que muchas veces son solicitadas de forma similar cuando no tienen nada que ver, pero esa es otra historia..

¿Como véis el mercado de la Seguridad en España?, ¿Igual, mejor, peor que el año pasado? En el 2009 nos hicimos la misma pregunta.. podéis comparar.

Salu2

4 de enero de 2011

PlayStation 3 Hacked

Que mejor forma de comenzar el año que con un "Epic Fail", y es que en el pasado congreso de Berlín "Chaos Communication Congress" el grupo de hackers fail0verflow le dio un pequeño repaso a la consola de SONY. La charla comenzó analizando el estado actual de todas las consolas del mercado y las distintas medidas de seguridad que cada una tiene implementadas, desde la Wii que fue hackeada prácticamente al ponerse a la venta a la Playstation 3, que 4 años más tarde sigue (seguía) sin ser comprometida verdaderamente.




Entonces este grupo de hackers comienzan a repasar cada medida de seguridad y como puede verse comprometida, muchas de ellas están basadas en el Hyipervisor, que en la arquitectura de la PS3 es el componente encargado de regular las llamadas al core de OS, y de como engañándolo mediante la manipulación de la memoria RAM se puede conseguir ejecutar código, etc. A partir de ahí se desencadenan una serie de ataques que tienen su cúspide en la rotura de la "Cadena de confianza", en el acceso a la infraestructura de clave pública, que utiliza AES como algoritmo simétrico y SHA-1 para las firmas sobre ECDSA , lo mejor de todo viene cuando en la investigación descubren que la función HMAC de firma suman a la clave un número que no es aleatorio, sino que se encuentra fijo en una posición de memoria, aquí es cuando viene el "Epic Fail":


Por que con este "pedazo" fallo de seguridad tienen la capacidad de firmar cualquier cosa como si fueran SONY, y esto significa que cualquiera puede distribuir aplicaciones, sistemas operativos, por supuesto juegos, etc. como si fuera SONY. Mejor todavía, si SONY distribuye un parche que cambie las claves y la forma de firmar el código todo lo que ya está distribuido pasará a ser incompatible. Es decir, ahora si no tienen nada que hacer contra la piratería en PS3, y si quieren que la PS4 esté más protegida difícilmente mantendrán la compatibilidad hacia atrás.

Efectivamente, un Epic Fail. El pdf con las slides lo tenéis aquí.

Salu2