Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

sábado, 22 de febrero de 2014

Seguridad Física

Articulo tomado de:   http://www.segu-info.com.ar/fisica/seguridadfisica.htm

Se respetan los Derechos de Autor.


" Un experto es aquel que sabe cada vez más sobre menos cosas, hasta que sabe absolutamente todo sobre nada.. es la persona que evita los errores pequeños mientras sigue su avance inexorable hacia la gran falacia"
Definición de Webwer - Corolario de Weinberger (Leyes de Murphy)

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Tipos de Desastres

No será la primera vez que se mencione en este trabajo, que cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre Ríos, técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en Los Angeles, EE.UU.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son:
  1. Desastres naturales, incendios accidentales tormentas e inundaciones.
  2. Amenazas ocasionadas por el hombre.
  3. Disturbios, sabotajes internos y externos deliberados.
No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara.
A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier entorno.
A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.
  1. Incendios (leer más)
  2. Inundaciones
    Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.
    Esta es una de las causas de mayores desastres en centros de cómputos.
    Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.
    Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
  3. Condiciones Climatológicas (leer más)
  4. Señales de Radar
    La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años.
    Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.
    Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.
  5. Instalaciones Eléctricas (leer más)
  6. Ergometría (leer más)

Acciones Hostiles

  1. Robo
    Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero.
    Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina.
    La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora.
    El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro
  2. Fraude
    Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.
    Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imágen, no se da ninguna publicidad a este tipo de situaciones.
  3. Sabotaje
    El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
    Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
    Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.

Control de Accesos

El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.
  1. Utilización de Guardias (leer más)
  2. Utilización de Detectores de Metales
    El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.
    La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma.
    La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo.
  3. Utilización de Sistemas Biométricos (leer más)
  4. Verificación Automática de Firmas (VAF)
    En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas.
    Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud.
    La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir.
    La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada.
    El equipamiento de colección de firmas es inherentemente de bajo costo y robusto.
    Esencialmente, consta de un bloque de metal (o algún otro material con propiedades acústicas similares) y una computadora barata.
  5. Seguridad con Animales
    Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema.
    Así mismo, este sistema posee la desventaja de que los animales pueden ser engañados para lograr el acceso deseado.
  6. Protección Electrónica (leer más)

Conclusiones

Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso físico permite:
  • disminuir siniestros
  • trabajar mejor manteniendo la sensación de seguridad
  • descartar falsas hipótesis si se produjeran incidentes
  • tener los medios para luchar contra accidentes
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados.
Estas decisiones pueden variar desde el conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.


(1) HUERTA, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10 o Later. 2 de Octubre de 2000. http://www.kriptopolis.org

jueves, 20 de febrero de 2014

Fortificar WordPress frente ataques de fuerza bruta

En mi trabajo estoy encargado de gestionar varios sistemas Wordpress con las distintas páginas web de la empresa en que trabajo, y allí vivo bajo la alerta de miles de ataques de fuerza bruta automatizados que últimamente está sufriendo la página de login de este sistema. Es por ello que decidí implantar, ya hace tiempo, el un plugin que limita los intentos de login y te envía un e-mail cada cierto número de bloqueos que se definen en la configuración.



En los ataques basados en fuerza bruta, los avisos que llegan son habitualmente intentos a usuarios por defecto de este tipo de sistemas, como adminadministrator o root... hasta que un día me encontré la desagradable sorpresa de que uno de los ataques ya había acertado con mi usuario válido. En ese momento decidí, por si alguno de ellos llegaba a tener suerte con mi contraseña, instalar el plugin de Latch para Wordpress y evitar problemas. Así, aunque alguien lograra dar con ella no podría entrar nunca en el sistema sin mi aprobación.


Figura 1: SDKs y Plugins de Latch. El plugin de WordPress es el primero.

Me puse a investigar cómo habían averiguado mi nombre de usuario y me sorprendió que no me hubiera fijado antes en esto. En aquel entonces no lo sabía, pero tras leer un poco ahora ya sé que es una debilidad conocida desde hace mucho tiempo, y que incluso muchos scanners automatizan la búsqueda de los usuarios de WordPress por defecto, como WPScan. Tras horas de búsquedas por la red no encontré información específica de cómo poder resolverlo, y parece que es algo que se asume por casi todo el mundo como una "feature".


Figura 2: Opciones de enumeración de usuarios en WordPress con WPScan 


El problema ya fue publicado por aquí hace tiempo en el artículo que se tituló "Regístrate en WordPress y evalúa su seguridad". Se trata de llamar por URL a la variable “author” y buscar el “id” manualmente comenzando por 1 y así sucesivamente para ver a qué nombre de usuario redirige y qué nombre de usuario aparece en el campo title de la página destino.

Figura 3: ?author=1 redirige a /author/admin


Cualquier usuario con privilegios de administrador normalmente estará entre los diez primeros, por lo que serán esos los que habrá que usar para hacer los ataques de fuerza bruta. El que puedan averiguar los nombres de los usuarios puede ser utilizado también para hacer ataques basados en contraseñas fijas y variaciones de usuarios, lo que me preocupaba bastante.



En primer lugar pensé que con cambiar el “alias” en la configuración de usuarios de WordPress - ya que el sistema asigna por defecto para el alias el mismo nombre del usuario del login dejándonos vendidos - bastaría para engañar a los malos que usen este tipo de scanners.

Figura 4: Alias cambiado a admin para ocultar el nombre de usuario administrador


Nada más lejos de la realidad. Después de poner un alias engañoso - lejos de este común "admin" - para el usuario válido administrator, comprobé que sí que se muestra en el title de la web el nuevo alias falso, pero no en la dirección URL, que sigue saliendo el usuario con el que se efectúa el proceso delogin.

Figura 5: Cambiar el alias cambia el title pero no la URL


Después de mucho buscar y probar cosas como bloquear desde el fichero .htaccess, modificar código fuente del propio motor de WordPress, etcétera... Ninguna solución era efectiva y funcional, hasta que me di cuenta de que modificando un campo de la tabla “users” en la base de datos que utiliza el motorWordPress se solucionaba el problema. Antes de ponerme a intentar solucionar este problema ni me había fijado en que estaba ahí ypor supuesto no podría conocer para que se podía utilizar. Dicho campo es el “user_nicename”, es decir, el "nombre bonito" para un usuario.

Figura 6: Establecimiento de user_nicename a un userfalso


Con solo este cambio en la base de datos es posible solucionar la forma con la que nuestros WordPressmuestran por defecto los nombres de usuarios. Si ahora hacemos la misma prueba, obtendremos que en el title aparece el alias, mientras que en la URL se puede ver en nicename del usuario.

Figura 7: Se ha conseguido ocultar el nombre de usuario en el title y en la URL


Tal vez existan otras soluciones, pero no me ha sido fácil encontrarla. Esta solución funciona perfectamente y me ha permitido que los últimos ataques de fuerza bruta no me afecten. Espero que  os sirva a todos los que no conocíais esta solución, y os evite unas horas trasteando como tuve que estar yo.



Si te sirve de algo mi experiencia, dedica tiempo a fortificar tu Linux, revisa los detalles de seguridad tu Apache, actualiza tu WordPress a la última versión y ponle pocos plugins que luego aparecen losbugs de XSS CSRF a la mínima que te descuidas - protege también el listado de los plugins que tienes instalados -, pon un plugin que te alerte de los ataques de fuerza bruta  , activa Latch y pon un bonito nombre a tus usuarios de WordPress.



Saludos!

Autor: Oscar Mogarra Hita

jueves, 13 de febrero de 2014

Excelente Articulo Tomado de: http://elblogdeangelucho.com/elblogdeangelucho/blog/2014/02/13/en-san-valentin-que-no-te-rompan-ni-el-corazon-ni-el-bolsillo/#more-6268

En San Valentín, ¡que no te rompan ni el corazón ni el bolsillo!

En horas celebramos el día de San Valentín, el día de los enamorados. Los ciberdelincuentes también celebrarán de forma particular este día tan especial para muchos, al igual que celebran cualquier día especial todos.

En estas fechas tan señaladas siempre debemos tener cuidado a las múltiples “trampas” que nos preparan nuestros “cibermalos“.

El día del amor no será menos, ahora sí, las trampas, engaños y estafas nos las mandarán con todo su “corazón“.

Hoy, los cibercriminales aprovecharán el tirón para engañar a los internautas menos cautos. Recibiremos mensajes masivos, sin ni tan siquiera conocer a nuestro “ciberamor“, pero siempre habrá algo bonito que decirnos desde sus ordenadores, ¡aunque el fondo no sea tan “bonito”!

Recibiremos correos electrónicos ofreciéndonos ese regalo de última hora y a precio imposible de rechazar. Todo la compra la podremos hacer online, ¡y total solo deberemos dar nuestros datos bancarios para hacer el pago, todo serán facilidades!

.

Hoy no será festivo para nuestros antivirus. Si utilizamos una buena solución antivirus no cesará en mandarnos avisos de alerta. Por eso es recomendable que los tengamos actualizados, al igual que nuestros sistemas operativos. Por el contrario si los tenemos desactualizados o simplemente tenemos tenemos un “Rogue o falso antivirus” podremos estar tranquilos, ¡total nos la van a “clavar” igual!.

Por supuesto, las redes sociales serán aliadas de los ciberdelincuentes que las utilizarán para llegar más fácilmente a los “ciberenamorados“, o simplemente a los que quisieran estarlo. ¿Que de malo puede tener un mensaje de un desconocido que nos invita a visitar una maravillosa página de “osos amorosos“?

Pero en fechas tan significativas, como Navidad o San Valentín, la “trampa reina” nos llega de la mano de las “Postales Amorosas“, que vendrán acompañadas de preciosas y emotivas imágenes, de conmovedores mensajes de amor y sobre todo de MALWARE, mucho MALWARE que se encargará de rompernos el corazón… de nuestro dispositivo.

Otros no dudarán en rompernos el corazón en redes sociales o páginas de contactos adultos. Sabiendo que en ellas encontrarán personas en busca de cariño, a sabiendas que en días como hoy las personas solitarias se convierten en internautas muchos más vulnerables. Convirtiéndose en víctimas potenciales del conocido como “ROMANCE SCAM” que no dudarán en enviar dinero a su “ciberamor” para ayudarle en una calamidad familiar, o para que pueda viajar hasta nuestro país y por fin poder conocerse para hacer real la “ciber-relación amorosa”.

¿Pensais que puede haber algún desalmado, que nos envíe un mensaje de amor mediante un link para acceder un sitio web o entrando en nuestra red social favorita, pero que su finalidad real sea engañarnos para robarnos nuestros datos personales? Yo tampoco lo creo, no me imagina gente tan mala, ¿verdad?

Sin lugar a duda, nuestros smartphones, se convertirán también en nuestros enemigos si no les damos el tratamiento de seguridad apropiado. Todas y cada unas de las amenazas, que hemos relatado, nos pueden llegar también a través de nuestros dispositivos móviles.

Lo que sí debemos tener claro, en los días que nos aparecen en rojo en el calendario, es que en Internet…

Nosotros somos nuestro mayor vulnerabilidad, pero también somos nuestro mejor antivirus.

Tomado de:  http://blog.segu-info.com.ar/#axzz2tG8lNAnv


Vulnerabilidad de escalamiento de privilegio crítica en 


Magento (Parchea!)


Hay muchas plataformas de e-Commerce disponibles en Internet que son fáciles de instalar y Magento es una de las más populares, con dos versiones disponibles: comunitaria y de pago.

Los investigadores de seguridad en Securatary han reportado una vulnerabilidad crítica de Administrative Authentication Bypass en Magento [PDF], que permitiría a los atacantes realizar un escalamiento de privilegio y crear un usuario administrativo en cualquier tienda online que utilice dicha plataforma.

Esta vulnerabilidad, si no es parcheada, afecta a más de 200.000 comercios en línea. Para aprovechar el fallo un atacante sólo necesita modificar el Host header en la solicitud Get realizada.

Los investigadores han bautizado el ataque como "Stealth mode" porque permite a un atacante robar créditos, cambiar el precio de los productos y manipular una serie de datos de las tiendas. "Todas estas peticiones pueden hacerse pasar como si fueran del propietario (impersonalización) de la cuenta por lo que no se desconfia de las mismas", dijeron.

Para demostrar la vulnerabilidad los investigador han utilizado Burp Suite, que permite fácilmente a un atacante capturar la solicitud de inicio de sesión, cambiar la entrada de Host en la cabecera y agregar un usuario nuevo en la tienda objetivo.

Esta vulnerabilidad se informó el 9 de febrero al equipo de seguridad de la empresa eBay (propietaria del proyecto Magento) a través de su programa Bug Bounty. El equipo de ingeniería de Magento ha publicado la solución extremadamente rápido.

Cristian de la Redacción de Segu-Info