D3NY4LL

Page 1

D3NY 4LL


D 3 NY 4 L L CONTENIDO PCI DSS basico

4

Tiger Team

9

LEY 26.388 y las Politicas de Seguridad Informatica

11

Ingenieria Social

13

Bases de ITIL y la Seguridad de la Informacion

17

Historia - La toma de la embajada de EEUU en IRAN

20

Microsoft Security Risk Management Process

22

Seguridad Fisica y Hacking

26

Best Practices para el manejo de evidencia digital

29

Tratamiento grafico de logs de Firewall

33

Cheat Sheets

39

HackerMedia

42

Historia - The Information Security in the Middle Ages

43

Ten Commandments of secure development

45

Surveillance State - Vos quĂŠ sabes ?

42


Bienvenidos a D3NY 4LL nยบ I

Hola esta es la compilacion de todos los posts del mes de Octubre de D3NY 4LL. A diferencia del blog donde el espacio y las posibilidades de edicion son limitadas, esta revista digital ademas de traer el contenido de la pagina web tiene informacion adicional sobre las notas publicadas. D3NY 4LL es un blog dedicado a la seguridad informatica, y abarca la mayoria de los aspectos de esta especialidad, desde la seguridad fisica, hasta las leyes promulgadas sobre delitos informaticos. En este el primer numero hay notas muy variadas, comenzando con la normativa PCI DSS y finalizando con los derechos ciudadanos a la informacion registrada por organismos publicos. Para finalizar, quienes quieran participar en la revista o en el blog, pueden enviar sus notas a la direccion de correo info.d3ny4ll@gmail.com. Saludos Julio Jaime Toda la informacion publicada es solo a los fines educativos y cualquier tipo de herramienta, metodologia o procedimiento aqui expuestos solo deben ejecutarse con el debido permiso de parte de los responsables del organismo,empresa o persona a cargo del destino. Tanto el Blog d3ny4ll.blogspot.com como la revista digital D3NY4LL se encuentran bajo la licencia Creative Commons, por lo tanto esta permitido copiar, distribuir o modificar el contenido siempre que no sea para fines comerciales y se cite a la fuente. Pueden encontrar mas informacion en HTTP://D3NY4LL.BLOGSPOT.COM d3ny4ll.blogspot.com

3


Que es PCI DSS ? Esta norma impulsada por American Express, Discover Financial Services, JCB, MasterCard Worldwide, y Visa International fue creada para proteger los datos de los posedores de tarjetas y por ende reducir el numero de fraudes. Algunos ejemplos recientes de robos de datos de tarjetas de credito :

Major Credit Card Scam in Ireland The National Police Service in Ireland is investigating a major credit card scam in which information of over 20,000 credit and debit cards has been stolen. The attackers posed as bank service personnel and attached rogue devices to card readers in stores from northeast Ireland. The captured data was then sent on the Internet using a wireless connection. The use of rogue card readers, for example, attached to bank ATMs, is not uncommon in the world of credit card fraud but, in this case, it was done on a large scale. Furthermore, the data gathered can be used to create clones of the cards, to empty the accounts or perform online transactions.

Forever 21: Nearly 99,000 cards compromised in data thefts Nearly 99,000 payment cards used by customers at several Forever 21 retail stores may have been compromised in a series of data thefts dating back to August 2004. A subsequent forensic analysis revealed that transaction data for approximately 98,930 credit and debit card numbers had been illegally accessed, with more than 20,000 of the transactions made at the company's Fresno store. The company's investigations indicated that the intrusions affected customers who shopped at the company's stores on nine specific dates. The first intrusion dated back to March 25, 2004, the most recent one occurred August 14, 2007. d3ny4ll.blogspot.com

4


Que organizacion tiene a cargo esta norma ? PCI Security Standards Council es la entidad encargada del desarrollo, administracion y divulgacion de los standares de seguridad PCI. https://www.pcisecuritystandards.org/

Quienes deben cumplir esta norma ? Pay Cardment Industry Data Security Standard es una norma de seguridad de datos que deben cumplir toda institucion que trasmita, almacene o procese datos de poseedores de tarjetas de credito. En el siguiente grafico se pueden ver la relacion entre todos los actores que participan en el negocio de las tarjetas. En el grafico de la izquierda se pueden ver la relacion entre todos los actores que participan en el negocio de las tarjetas. Dependiendo de la cantidad de operaciones anuales es el nivel otorgado a cada organizacion. Para las empresas que acepten tarjetas de creditos :

Nivel 1

Empresas que procesen anualmente mas de 6 millones de transacciones de Visa o MasterCard. Empresas que procesen anualmente mas de 2.5 millones de transacciones de American Express

Nivel 2

Empresas que procesen anualmente entre 1 millon y 6 millones de transacciones de Visa o mas de 150 mil transacciones MasterCard. Empresas que procesen anualmente entre 50 mil y 2.5 millones de transacciones de American Express

Nivel 3

Empresas que procesen anualmente entre 20 mil y 1 millon de transacciones de Visa o mas de 20 mil de MasterCard. Empresas que procesen anualmente menos de 50 mil transacciones de American Express

Nivel 4

Todas las empresas que tengan menos transacciones de Visa y Mastercard que los niveles anteriores.

d3ny4ll.blogspot.com

5


Para las empresas que almacenen, procesen o transmitan datos de tarjetas de creditos Dependiendo del nivel es el tipo de auditoria que tendran que pasar para estar certificados como PCI compliance. Estas auditorias van desde una auto-validacion en el caso de quienes tienen pocas transacciones anuales, hasta una auditoria anual on-site realizada por un Qualified Security Assessor. En caso de no cumplir con la norma se deben pagar multas que pueden llegar a los U$S 25000 mensuales para empresas de nivel 1.

Los datos confidenciales de autenticación son los datos de la banda magnética (o datos de la pista), el código o valor de validación de la tarjeta4, y los datos del PIN. Está prohibido guardar datos confidenciales de autenticación. Estos datos son muy valiosos para los delincuentes que roban datos de los computadores porque les permiten generar tarjetas de pago falsas y realizar transacciones fraudulentas. Las siguientes ilustraciones del reverso y anverso de una tarjeta de crédito muestran dónde aparecen los datos del tarjetahabiente y los datos confidenciales de autenticación en el plástico.

Datos de la Pista 1 y Pista 2 Si se guardan los datos completos de la pista (de la Pista 1 o de la Pista 2) los delincuentes que obtengan esos datos podrán reproducir y vender tarjetas de pago en el mundo entero. El almacenaje de los datos completos de la pista también constituye una violación de los reglamentos operativos de las marcas de pago y puede dar lugar a multas y penalidades. La ilustración que aparece a continuación brinda información sobre los datos de la Pista 1 y la Pista 2, describiendo las diferencias y mostrando el formato de los datos contenidos en la banda magnética. d3ny4ll.blogspot.com

6


Cuales son las normas ? Desarrollar y Mantener una Red Segura Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los tarjetahabientes. Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los suplidores. Proteger los Datos de los Tarjetahabientes Requisito 3: Proteger los datos de los tarjetahabientes que estén almacenados. Requisito 4: Encriptar los datos de los tarjetahabientes e información confidencial transmitida a través de redes públicas abiertas. Mantener un Programa de Manejo de Vulnerabilidad Requisito 5: Usar y actualizar regularmente el software o programas antivirus. Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros. Implementar Medidas Sólidas de Control de Acceso Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información. Requisito 8: Asignar una Identificación única a cada persona que tenga acceso a un computador. Requisito 9: Restringir el acceso físico a los datos de los tarjetahabientes. Monitorear y Probar Regularmente las Redes Requisito 10: Rastrear y monitorear todo el acceso a los recursos de la red y datos de los tarjetahabientes. Requisito 11: Probar regularmente los sistemas y procesos de seguridad. Mantener una Política de Seguridad de la Información Requisito 12: Mantener una política que contemple la seguridad de la información.

d3ny4ll.blogspot.com

7


Donde se aplican estas normas ? Los requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago se aplican a todos los componentes de sistemas que están incluidos en el ambiente de datos de los tarjetahabientes o conectados al mismo. El ambiente de datos de los tarjetahabientes es la parte de la red que posee los datos de los tarjetahabientes o los datos confidenciales de autenticación, incluyendo los componentes de red, los servidores y las aplicaciones. Los componentes de red pueden incluir, sin limitación, cortafuegos, switches, ruteadores, puntos de acceso inalámbrico, aparatos conectados a la red y otros aparatos y dispositivos de seguridad. Los tipos de servidores incluyen, sin limitación, los siguientes: Web, base de datos, autenticación, correo, proxy, Network Time Protocol (NTP) y servidores de nombre de dominio (DNS). Las aplicaciones incluyen, sin limitación, todas las aplicaciones adquiridas comercialmente o individualmente desarrolladas, incluyendo aplicaciones internas y externas (Internet). Si bien estas normas no son tan completas como el standard ISO/27000 y estan orientadas a una industria en particular, las best practices que establece pueden ser aplicadas a otras empresas. Otro punto que vale destacar, PCI si no se cumple tiene una multa, por lo tanto esta mas implementada en gral que las normas ISO las cuales no tienen ningun tipo de obligacion de aplicarse. Un paper muy interesante hablando sobre la diferencias y similitudes de estas dos normas se encuentran en este PDF de Steve Wright

Google nos puede ajudar a encontrar posibles vulnerabilidades en nuestro site. site: XXXXX.com intitle:"index of" intext:globals.inc Esta busqueda nos entregara todos los archivos globals.inc de nuestro dominio XXXXX que se encuentren accesible en forma publica desde internet. El archivo globals.inc contienen los usuarios/password en formato texto de una base Mysql. site: XXXXX.com intitle:index.of.config Esta busqueda nos entregara informacion de archivos de configuracion de nuestro webserver expuestos a internet. site: XXXXX.com inurl:backup intitle:index.of inurl:admin Esta busqueda nos entregara informacion de directorios de backup que puedan estar expuestos a internet. Dependiendo del objetivo del backup se puede tener expuestos desde codigo fuente, tablas y otros documentos criticos. d3ny4ll.blogspot.com

8


TIGER TEAM Tiger Team es un grupo especializado en probar que tan efectiva es una organizacion en proteger sus activos. Digamos que realizan una especie de PENTEST a toda escala, no solamente logica sino ademas fisica. El termino es aplicado en el campo militar para describir al equipo cuyo proposito es probar la seguridad de las propias instalaciones y verificar las medidas de seguridad. Los miembros son profesionales que instalan evidencias de su accionar, por ejemplo dejando carteles con palabras como BOMBA en sitios de defensa criticos. En algunos casos, despues de tener exito en una de sus "visitas", personal de alto rango realizara un "security review" y encontrara la evidencia. Tiger Team tambien era el nombre de un programa de television en EEUU del tipo reality show. Cada episodio muestra a un equipo civil que realiza test de invasion y son contratados por organizaciones con el objetivo de probar sus vulnerabilidades. Estos test cubren todos los campos posibles, electronico, psicologico, tactico y fisico. Los ataques ejecutados sobre estas organizaciones incluyen ingenieria social, dumpster diving,hacking por wireles, hacking por cable y el acceso fisico a los edificios . En el show siguiente, el TIGER TEAM fue contratado para verificar la seguridad de una joyeria. LINK : http://video.google.com/videoplay?docid=5642547759793319840&hl=en Es muy interesante ya que se puede ver la metodologia del PENTEST: d3ny4ll.blogspot.com

9


En la fase de inteligencia se colecta toda la informacion posible del objetivo, en este caso el equipo utiliza herramientas de Ingenieria Social ( realizan una entrevista en el sitio, dejan un troyano dentro de la maquina de la recepcionista) . Digamos que tanto la recepcionista que acepto un token para ajudar, como el due単o que acepto la entrevista fueron victimas de aptitudes tipicas en el ser humano, la propension a la ayuda y el ego.

Una vez que se tiene la informacion del objetivo, se comienza a realizar el Reconocimiento de vulnerabilidades posibles de explotar. Por supuesto que segun el objetivo es la sofisticacion de las herramientas a utilizar. Aqui utilizan un sistema para clonar la tarjeta de acceso RFID de la gente que trabaja en la compa単ia

Con toda la informacion de las fases previas, comienza la fase de planeamiento del acceso, buscando las vulnerabilidades mas faciles de quebrar, que permitan dejar el menor rasto posible y durante el momento en el que menor cantidad de gente se encuentre en el lugar, en este caso el fin de semana.

El acceso al sitio comprende la puesta en funcionamiento de lo planificado, utilizando las herramientas adecuadas. Por ejemplo aui para abrir la conbinacion de una caja fuerte con codigo digital, utilizan un polvo de huellas para ver cuales digitos se encuentran mas utilizados. Como prueba del acceso, dejan fotografias en el lugar.

El Debriefing es la reunion posterior al acceso ( o no ) donde se detallan las vulnerabilidades encontradas, su gravedad, consecuencias que estas pueden acarrear y las correciones a realizar para evitarlas.

d3ny4ll.blogspot.com

10


ARGENTINA - LEY 26.388 y Politicas de Seguridad Informatica

Al momento de crear nuestra Politica de Seguridad Informatica debemos tener en cuenta el marco legal para evitar conflictos y posibles sanciones. Puntos como la confidencialidad de las comunicaciones privadas, almacenamientos de logs de acceso, monitoreo de los accesos a internet, software legal, deben estar especificados para evitar posibles condenas tanto civiles como penales. Es muy importante que el departamento legal o un estudio de abogados con especialidad en derecho digital nos asesore. En Argentina el dia 25 de Junio del 2008 se publico la modificacion de la ley 26.388 sobre delitos informaticos. Los nuevos tipos penales incorporados por la Ley 26.388: -

Producción y distribución de pornografía infantil vía internet u otros medios electrónicos; Violación de secretos y de la privacidad; Violación, apoderamiento y desvío de comunicaciones electrónicas; Intercepción o captación de comunicaciones electrónicas o telecomunicaciones; Acceso al sistema o dato informático; Publicación de una comunicación electrónica; Revelación de secretos por funcionario público; Acceso a un banco de datos personales; Revelación de información registrada en un banco de datos personales; Inserción de datos falsos en un archivo de datos personales; y Fraude informático y daño o sabotaje informático.

Como afecta esta modificacion a la empresa ? Debemos ser claros en la Politica de Seguridad Informatica sobre la prohibicion de distribuir o almacener en los equipos de la empresa material pornografico.

d3ny4ll.blogspot.com

11


Artículo 2: Será reprimido con prisión de seis (6) meses a cuatro (4) años el que produjere, financiare, ofreciere, comerciare, publicare, facilitare, divulgare o distribuyere, por cualquier medio, toda representación de un menor de dieciocho (18) años dedicado a actividades sexuales explícitas o toda representación de sus partes genitales con fines predominantemente sexuales, al igual que el que organizare espectáculos en vivo de representaciones sexuales explícitas en que participaren dichos menores. Será reprimido con prisión de cuatro (4) meses a dos (2) años el que tuviere en su poder representaciones de las descriptas en el párrafo anterior con fines inequívocos de distribución o comercialización. Será reprimido con prisión de un (1) mes a tres (3) años el que facilitare el acceso a espectáculos pornográficos o suministrare material pornográfico a menores de catorce (14) años. Respecto a la “Violación de Secretos y de la Privacidad” debemos tener en cuenta que el correo electronico a disposicion del empleado aunque de la empresa, debe ser considerado privado y no debe violarse a menos de contar con una orden judicial. De otra manera es delito y esta tipificado en el siguiente articulo. ARTICULO 4º: Sustitúyese el artículo 153 del Código Penal, por el siguiente: Artículo 153: Será reprimido con prisión de quince (15) días a seis (6) meses el que abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, que no le esté dirigido; o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida. En la misma pena incurrirá el que indebidamente interceptare o captare comunicaciones electrónicas o telecomunicaciones provenientes de cualquier sistema de carácter privado o de acceso restringido. La pena será de prisión de un (1) mes a un (1) año, si el autor además comunicare a otro o publicare el contenido de la carta, escrito, despacho o comunicación electrónica. Si el hecho lo cometiere un funcionario público que abusare de sus funciones, sufrirá además, inhabilitación especial por el doble del tiempo de la condena. Nuestra Politica de Seguridad Informatica debe indicar que todos nuestros sistemas que no son considerados publicos solo deben ser accesados mediante la debida autorizacion. Por supuesto que esto debe estar reflejado en las pantallas de acceso a nuestros sistemas. ARTICULO 5º: Artículo 153 bis: Será reprimido con prisión de quince (15) días a seis (6) meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido. La pena será de un (1) mes a un (1) año de prisión cuando el acceso fuese en perjuicio de un sistema o dato informático de un organismo público estatal o de un proveedor de servicios públicos o de servicios financieros.

d3ny4ll.blogspot.com

12


INGENIERIA SOCIAL Que es la Ingenieria Social ? La Ingenieria Social es el arte por el cual se puede obtener informacion critica mediante tecnicas de manipulacion de usuarios. Este tipo de ataques no puede ser detectado por medio de la tecnologia y se plica sobre el elemento mas vulnerable de la seguridad informatica : el ser humano. Segun Kevin Mitnick, la ingeniería social se basa en estos cuatro principios:

* Todos queremos ayudar. * El primer movimiento es siempre de confianza hacia el otro. * No nos gusta decir No. * A todos nos gusta que nos alaben. Como se utiliza ? El ingeniero social explorara las caracteristicas humanas como reciprocidad, busqueda de provocacion, respeto a la autoridad, miedo, solidaridad. Un clasico de respeto a la autoridad esta demostrado por el Experimeto de Milgram, el fin de la prueba era medir la buena voluntad de un participante a obedecer las órdenes de una autoridad aún cuando éstas puedan entrar en conflicto con su conciencia personal. En la pelicula "I... como Ícaro" hay un ejemplo de este experimento : d3ny4ll.blogspot.com

13


A través de anuncios en un periódico de New Haven (Connecticut) se reclamaban voluntarios para participar en un ensayo relativo al "estudio de la memoria y el aprendizaje" en Yale, por lo que se les pagaba cuatro dólares más dietas. A los voluntarios que se presentaron se les ocultó que en realidad iban a participar en un investigación sobre la obediencia a la autoridad. Los participantes eran personas de entre 20 y 50 años de edad de todo tipo de educación: los había que acababan de salir de la escuela primaria a participantes con doctorados. El investigador comunica al participante voluntario a investigar y a otro que se hace pasar también por participante, pero que en realidad es un cómplice del investigador, que están participando en un experimento para probar los efectos del castigo en el comportamiento del aprender. Se les señala que es escasa la investigación llevada a cabo en este campo y se desconoce cuánto castigo es necesario para un mejor aprendizaje.

A continuación, cada uno de los dos participantes escoge un papel de una caja que determinará su rol en el experimento. El cómplice toma su papel y dice haber sido designado como "alumno". El participante voluntario toma el suyo y ve que dice "maestro". En realidad en ambos papeles ponía "maestro" y así se consigue que el voluntario con quien se va a experimentar reciba forzosamente el papel de "maestro". Separado por un módulo de vidrio del "maestro", el "alumno" se sienta en una especie de silla eléctrica y se le ata para "impedir un movimiento excesivo". Se le colocan unos electrodos en su cuerpo con crema "para evitar quemaduras" y se señala que las descargas pueden llegar a ser extremadamente dolorosas pero que no provocarán daños irreversibles. Todo esto lo observa el participante. Se comienza dando tanto al "maestro" como al "alumno" una descarga real de 45 voltios con el fin de que el "maestro" compruebe el dolor del castigo y la sensación desagradable que recibirá su "alumno". Seguidamente el investigador, sentado en el mismo módulo en el que se encuentra el "maestro", proporciona al "maestro" una lista con pares de palabras que ha de enseñar al "alumno". El "maestro" comienza leyendo la lista a éste y tras finalizar le leerá únicamente la primera mitad de los pares de palabras dando al "alumno" cuatro posibles respuestas

d3ny4ll.blogspot.com

para cada una de ellas. Éste indicará cuál de estas palabras corresponde con su par leída presionando un botón (del 1 al 4 en función de cuál cree que es la correcta). Si la respuesta es errónea, el "alumno" recibirá del "maestro" una primera descarga de 15 voltios que irá aumentando en intensidad hasta los 30 niveles de descarga existentes, es decir, 450 voltios. Si es correcta, se pasará a la palabra siguiente. El "maestro" cree que está dando descargas al "alumno" cuando en realidad todo es una simulación. El "alumno" ha sido previamente aleccionado por el investigador para que vaya simulando los efectos de las sucesivas descargas. Así, a medida que el nivel de descarga aumenta, el "alumno" comienza a golpear en el vidrio que lo separa del "maestro" y se queja de su condición de enfermo del corazón, luego aullará de dolor, pedirá el fin del experimento, y finalmente, al alcanzarse los 270 voltios, gritará de agonía. Lo que el participante escucha es en realidad un grabación de gemidos y gritos de dolor. Si el nivel de supuesto dolor alcanza los 300 voltios, el "alumno" dejará de responder a las preguntas y se producirán estertores previos al coma.

14


Por lo general, cuando los "maestros" alcanzaban los 75 voltios, se ponían nerviosos ante las quejas de dolor de sus "alumnos" y deseaban parar el experimento, pero la férrea autoridad del investigador les hacía continuar. Al llegar a los 135 voltios, muchos de los "maestros" se detenían y se preguntaban el propósito del experimento. Cierto número continuaba asegurando que ellos no se hacían responsables de las posibles consecuencias. Algunos participantes incluso comenzaban a reír nerviosos al oír los gritos de dolor provenientes de su "alumno". Si el "maestro" expresaba al investigador su deseo de no continuar, éste le indicaba imperativamente y según el grado: Continúe, por favor. El experimento requiere que usted continúe. Es absolutamente esencial que usted continúe. Usted no tiene opción alguna. Debe continuar. Si después de esta última frase el "maestro" se negaba a continuar, se paraba el experimento. Si no, se detenía después de que hubiera administrado el máximo de 450 voltios tres veces seguidas. En el experimento original, el 65% de los participantes (26 de 40) aplicaron la descarga de 450 voltios, aunque muchos se sentían incómodos al hacerlo. Todo el mundo paró en cierto punto y cuestionó el experimento, algunos incluso dijeron que devolverían el dinero que les habían pagado. Ningún participante se negó rotundamente a aplicar más descargas antes de alcanzar los 300 voltios.

Los ataques de ingenieria social pueden ejecutarse por medio de dos formas : Contacto directo con la victima o sin contacto con la victima y en ambos casos pueden utilizar medios tecnologicos o no. La utilizacion de medios tecnologicos pueden ser spam, pishing o caballos de troya, en el caso de los no tecnologicos pueden ser por ejemplo dumpster diving. Un ejemplo de Contacto Directo con la victima En la pelicula Nueve Reinas hay un ejemplo perfecto de la tecnica de Ingenieria Social En esta escena el personaje, busca una victima entre los habitantes del edificio y luego de ubicarla apela a los sentimientos y a la solidaridad. Ejemplos de medios tecnologicos :

Imaginen enviar una revista de obsequio con un CD, cuando se ejecuta el contenido del CD se instala un troyano. Tecnicas de phising, enviando email corporativos. Tecnicas de Clickjacking. d3ny4ll.blogspot.com

15


Quienes son los objetivos mas expuestos a estos tipos de ataques ? Secretarias de Directores o personas claves , los cuales en algunos casos poseen datos confidenciales o passwords de sus jefes. Recepcionistas Usuarios en general Como podemos protegernos de estos ataques ? Ademas de la implementacion de una Politica de Seguridad Informatica que se cumpla, la Educacion del usuario es un punto fundamental.

Lecturas interesantes sobre el particular : El arte de enga単ar escrito por Kevin Mitnick No Tech Hacking escrito por Johnny Long. d3ny4ll.blogspot.com

16


Bases de ITIL y la Seguridad de la Informacion

"Biblioteca de Infraestructura de Tecnología de la Información" (Information Technology Infrastructure Library). Su objetivo fundamental es proporcionar un conjunto amplio, consistente y coherente de mejores prácticas para los procesos de Gestión de Servicios TI. La Gestión de Servicios de TI es un concepto general y cómo tal puede aplicarse a cualquier tipo de empresa, grande o pequeña, con un TI interno o externalizado. Es totalmente escalable y su función es adaptarse a la empresa y no al revés.

CONFIGURATION MANAGEMENT: Best practices para controlar configuraciones de produccion (Por ejemplo, standarizacion, monitoreo, identificacion de acticos). Es decir que identificando, controlando, manteniedo y verificando los item que forman parte de IT en una organizacion tendremos un modelo logico de la infrestrucutura.

INCIDENT MANAGEMENT: Best practices para la resolucion de incidentes ( cualquier evento que cause una interrupcion o una reduccion de la calidad de los servicios IT )y puesta en funcionamiento rapida de servicios IT.

PROBLEM MANAGEMENT: Best practices para identificar las causas que originan los incidentes en IT y para evitar sus ocurrencias futuras.

CHANGE MANAGEMENT: Best practices para estandarizacion y autorizacion de implementaciones controladas de modificaciones en IT. Estas practicas asegurarn que los cambios son implementados con un impacto minimo en los servicios IT y que ademas es identificaco su origen.

RELEASE MANAGEMENT: Best practices para la puesta en produccion de hardware y software. Estas practicas aseguran que solamente lo que fue probado y la versiones correctas de software y hardware seran publicadas a los clientes IT.

d3ny4ll.blogspot.com

17


AVAILABILITY MANAGEMENT: Best practices para el mantenimiento de la disponibilidad de

servicios garantizados al usuario. Estas practicas aseguran que infraestrucutra de IT es confiable, resistente y recuperable. FINANCIAL MANAGEMENT: Best practices para el manejo de los costos para proveer servicios IT (

presupuesto, d managing the cost of providing IT services (for example, presupuesto, contabilidad IT, cobro de servicios IT). Estas practicas aseguran que los servicios IT seran provistos en forma eficiente y con los mejores costos. SERVICE LEVEL MANAGEMENT: Best practices para asegurar que los acuerdos entre IT y sus clientes

estan especificados y son cumplidos.

SECURITY MANAGEMENT es el proceso de administrar un nivel de seguridad de la informacion y de los servicios IT. Dentro de esto esta la administracion de los incidentes de seguridad. El proceso de administrar la seguridad esta subordinado a la politica de seguridad corporativa. Esta politica es la decision tomada por la empresa en erogar tiempo y dinero en la seguridad de la informacion y de los servicios. En las practicas ITIL esta politica normalmente se encuentra dentro de la SLA ( Service Level Agreement ). La primera pregunta que debemos responder sobre Security Management es : Que medidas de seguridad necesitamos implementar ? Realizando un analisis de riesgo una organizacion consigue definir los requerimientos de seguridad necesarios. El analisis de riesgo nos permitira utilizar eficientemente los recursos asignados de manera de no gastar esfuerzo en aquello que no es critico para el negocio. El proposito de la seguridad de la informacion es servir a los intereses del negocio o de la organizacion. No toda la informacion y no todos los servicios tienen el mismo grado de importancia para una empresa. El nivel de seguridad aplicado tiene que ser el apropiado segun que tan importante es la informacion. El mantenimiento de la seguridad informatica es un proceso continuo e interactivo. Hay varios factores que influencian el resultado de este proceso. Tanto internos como externos.

d3ny4ll.blogspot.com

18


El mantenimiento de la seguridad informatica es un proceso continuo e interactivo. Hay varios factores que influencian el resultado de este proceso. Tanto internos como externos. Ejemplos de estos cambios son : -- Nuevas demandas de negocios -- Cambios en la legislacion -- Cambios tecnologicos -- Nuevas amenazas El siguiente grafico representa el ciclo completo del proceso de seguirdad de la informacion desde su implementacion hasta su mantenimiento.

La seguridad es tan fuerte como el eslabon mas debil. d3ny4ll.blogspot.com

19


Historia - La toma de la embajada de EEUU en IRAN Un hecho historico que demuestra que en seguridad nunca eliminamos el riesgo, a lo sumo podemos minimizarlo, esta en la toma de la embajada de EEUU en Iran en el año 1979. La crisis de los rehenes en Irán, se desarrolló en un periodo de 444 días, durante el cual el nuevo gobierno surgido tras la revolución iraní, tomó como rehenes 66 diplomáticos y ciudadanos de los Estados Unidos de América (EE.UU.).La crisis empezó el 4 de noviembre de 1979 y duró hasta el 20 de enero de 1981.(1) Aqui no interesa el hecho politico del cual no vamos a omitir opinion, pero si es interesante el episodio que envolvio la reconstruccion de documentos confidenciales destruidos. Por razones presupuestarias la embajada no tenia los destructores adecuados. Despues de la toma de la embajada, los secuestradores encontraron diferentes documentos destruidos y desparramados por el piso. Luego de numerarlos y guardarlos en carpetas fueron distribuidos entre estudiantes d3ny4ll.blogspot.com

universitarios que lograron rearmarlos a mano. Segun esta nota de Edward Jay Epstein, es una de las mayores perdidas de informacion confidencial en la historia de los servicios secretos : November 1979 when Iranian students seized an entire archive of CIA and State Department documents, which represented one of the most extensive losses of secret data in the history of any modern intelligence service. Even though many of these documents were shredded into thin strips before the Embassy, and CIA base, was surrendered, the Iranians managed to piece them back together. They were then published in 1982 in 54 volumes under the title "Documents From the U.S. Espionage Den", and are sold in the United States for $246.50. As the Teheran Embassy evidently served as a regional base for the CIA, The scope of this captures intelligence goes well beyond intelligence reports on Iran alone. They cover the Soviet Union, Turkey, Pakistan, Saudi Arabia, Kuwait and Iraq. There are also secret analysis of arcane subjects ranging from the effectiveness of Israeli intelligence to Soviet oil production. Presumably, these thousands of documents, which include cryptnyms and routing instructions from and to concerned agencies of the United States government, have been extensively analyzed by the KGB and other intelligence service interested in the sources and methods used by the CIA.

20


Algunos de los documentos reconstruidos :

Se pueden encontrar muchos mas documentos reconstruidos en el siguiente link:

Por ejemplo el nivel 6 de destruccion certificado por la NSA, debe dejar los restos de tama単os no mayores a 1x4-5mm.

Mas tarde durante uno de los intentos de rescate de prisioneros que debio ser abortado se perdieron mas documentos confidenciales en helicopteros que debieron ser abandonados. Dentro de los helicopteros habia documentos con los planes de rescate, rutas de evacuacion, contactos y codigos a utilizar. Este episodio convencio al gobierno de los EEUU a realizar una actualizacion de sus procedimientos para destruir los documentos. Las tecnicas ahora utilizadas incluyen, pulping, pulverizado y descomposicion quimica de datos sensibles.

d3ny4ll.blogspot.com

Pensemos que no siempre se pueden utilizar estos metodos en situaciones de emergencias por lo cual los procedimientos de reconstruccion seran de interes de los organos de inteligencia durante mas tiempo.

21


Microsoft Security Risk Management Process La Metodologia Microsoft para el Gerenciamiento de los Riesgos ( Microsoft Security Risk Management Process ) es un mix entre las metodologias cuantitativas y las cualitativas de analisis de riesgo. Este proceso consiste de cuatro fases, la primera es donde se realiza la medicion de los riesgos a los que estamos expuestos, combinando ambos aspectos de las metodologias cuantitativas y cualitativas. La metodologia cualitativa dara una vision rapida de los riesgos y la cuantitativa se utilizara para examinar los riesgos para graves que fueron encontrados. La lista de los riesgos mas severos sera utilizada en la fase en la cual tomaremos las decisiones de como minimizar estos riesgos. Durante la tercera fase o de Implementacion de Controles, se introduciran controles y por ultimo en la cuarta fase se medira la efectividad de las medidas de mitigacion adoptadas. Dado que esta metodologia es ciclica, todo vuelve a realizarse segun el tama単o de la organizacion, aunque probablemente un ciclo anual seria lo recomendado.

d3ny4ll.blogspot.com

22


La lista de los riesgos mas severos sera utilizada en la fase en la cual tomaremos las decisiones de como minimizar estos riesgos.

Determinando el nivel de la Gestion de Riesgo en su Organizacion.

Durante la tercera fase o de Implementacion de Controles, se introduciran controles y por ultimo en la cuarta fase se medira la efectividad de las medidas de mitigacion adoptadas.

Antes de intentar implementar en su organizacion el proceso de Gestion de Riesgos de Microsoft, se debe verificar el nivel actual de su gestion del riesgo. De otra manera puede ser muy complicado implementar de cero todo el modelo.

Dado que esta metodologia es ciclica, todo vuelve a realizarse segun el tama単o de la organizacion, aunque probablemente un ciclo anual seria lo recomendado.

Por supuesto que realizar el analisis de riesgo antes de programar el presupuesto anual es lo mas recomendado para poder dirigir el esfuerzo hacia los riesgos mas severos.

d3ny4ll.blogspot.com

Si se determina que aun es inmadura su organizacion, tal vez conviene comenzar a realizar una implementacion piloto en un departamento para ganar experiencia y luego comenzar a expander la metodologia por toda la organizacion. Microsoft basandose en la norma ISO 27001 define los diferentes niveles de maduridad de la gestion del riesgo.

23


Nivel 0 - No existente : Procesos y Politicas no documentadas Nivel 1 - Ad-Hoc : Se considera el proceso de Gestion del Riesgo pero no se implementan politicas o procesos. Nivel 2 - Repititivo :La organizacion tiene conciencia de los riesgos , el proceso de gestion del riesgo es repetitivo pero inmaduro. Nivel 3- Procesos Definidos :La organizacion adopto el proceso de gestion de riesgos. Los procesos estan escritos y hay medidas para medir los resultados. Nivel 4 - Gestionado :Hay una gestion del riesgo en toda la organizacion, los procesos de gestion de riesgo estan bien documentados y los usurios son capacitados para su utilizacion. Nivel 5 - Optimizado: Los procesos de gestion de riesgo estan automatizados por medio de herramientas. El equipo de gestion de riesgo puede planificar las soluciones a futuro. La causa de los problemas son identificadas y se toman medidas para evitar su repeticion. AUTOCUESTIONARIO PARA MEDIR EL NIVEL DE MADURIDAD DE LA GESTION DE RIESGOS

seguridad de terceras partes que acceden a los datos de la organizacion estan bien documentadas.

Las siguientes preguntas ofrecen una formas mas rigurosa de medir el nivel de maduridad de su organizacion. Contestando honestamente cada una permirita determinar que tan bien preprada esta su empresa para para implementar el proceso de Gestion de Riesgos de Microsoft.

--Un inventario de activos IT , como hardware , software y bases de datos se encuentra actualizado y contiene datos confiables.

El score tiene una escala de 0 a 5 utilizando las definiciones anteriores. --Las politicas de seguridad de la informacion y procedimientos , son claros, concisos, bien documentados y completos. --Todas las posiciones del equipo de IT que trabajen en seguridad conocen claramente y entienden los roles y las responsabilidades. --Las politicas y procedimientos para la

d3ny4ll.blogspot.com

--Existen controles para proteger la informacion de la organizacion de accesos no autorizados tanto externos como internos. --Los usuarios son entrenados y se distribuyen newletters con informaciones de politicas de seguridad. --Los accesos fisicos a la red de datos y otros activos informaticos es restringida por medio del uso de controles efectivos. --Los nuevos sistemas son preparados siguiendo estandares de seguridad de la organizacion, utilizando herramientas automatizadas como disk clonning y scripts.

24


--Existe un sistema de patchmanagement que puede enviar en forma automatica updates de software de diferentes proveedores a la mayoria de los sistemas de la organizacion. --Un equipo de respuesta a incidentes fue creado y se desarrollo documentacion para manejar y seguir los incidentes de seguridad. Todos los incidentes son investigado hasta encontrar la causa de los problemas. --La organizacion tiene un sistema de Antivirus , con multiples capas de defensa y los usuarios son entrenados para su utilizacion. Existe un proceso efectivo para combatir problemas de virus. -- Los procesos de alta de usuarios se encuentran bien documentados y al menos parcialmente automatizados, de manera que nuevos empleados y partners puedan tener los privilegios adecuados de acceso a los sistemas de la organizacion en forma y tiempo.

Estos procesos debe contemplar tambien la desabilitacion y borrado de cuentas de usuarios que ya no se necesiten. --El acceso a las PC's y red de datos es controlado por medio de autenticacion y autorizacion de usuarios, acceso restrictivo a los datos y monitoreo proactivo de violaciones a las politicas. --Las aplicaciones de los desarrolladores son entregadas con las medidas de seguridad adecuadas y con control de calidad del codigo. --Programas de continuidad de negocio estan definidos, bien documentados y probados en forma periodica por medio de tests y simulaciones. --Se realizan auditorias externas en forma regular para verificar el cumplimiento de las practicas estandars para la seguridad de los activos del negocio.

Se debe calcular el puntaje obtenido por la organizacion sumando todos los puntas de cada item. Teoricamente el puntaje varia de 0 a 85% , sin embargo pocas organizaciones alcanzan algun extremo. Para poder introduccir la metodologia de Microsoft, una organizacion debe tener un valor mayor a 51. Un puntaje de 34 a 50 indica que la organizacion tomo recaudos de seguridad y puede gradualmente ingresar al proceso. Organizacion con valores menores a deben comenzar lentamente a introducir la metodologia de Microsoft, aplicando los procesos a una unidad de negocios como plan piloto. La gui completa de esta metodologia puede bajarse en el siguiente link :

d3ny4ll.blogspot.com

25


Seguridad Fisica y Hacking Este post quiere concientizar a los usuarios sobre las amenazas existentes a la seguridad fisica de las empresas. No es de ninguna manera una apologia de los metodos aqui mostrados. En la DEFCON 15 realizada en Las Vegas, Johnny Long presento su libro No Tech-Hacking " Una guia sobre Ingenieria Social,Dumpster Diving y Shoulder Surfing". En su presentacion, muestra la vision que tiene un hacker "fisico", es decir como hace para obtener informacion apartir de su entorno y sin utilizar la tecnologia. ( al menos no la tipica ). Esto tipo de hacking va mas alla de la Ingenieria Social que hable en un post anterior, digamos que es una reconocimiento del terreno para luego avanzar en un objetivo especifico. Los ejemplos de reconocimiento de Johnny pasan por mostrar las diferencias entre lo que ve una persona normal cuando ve un auto, y lo que ve un especialista. Calcos, papeles dentro del vehiculo o hasta patentes dan un perfil de la persona que lo conduce. Incluso, la ropa , el corte de cabello, permiten formar una idea de la ocupacion de y gustos de un sujeto. Entre las tecnicas de invasion que se muestran se encuentran las siguientes : d3ny4ll.blogspot.com

26


TAILGATING es el metodo de acceder a un local restricto ubicandose detras de una persona con acceso. Teniendo un perfil de un empleado, facilmente se puede conseguir vestimenta de acceso y clonar con sus respectivos logos . En sitio http://www.brandsoftheworld.com/ se pueden encontrar logos de diferentes empresas. Hoy es comun la utilizacion de tarjetas de acceso contact-less, estas tarjetas segun su tecnologia pueden ser clonadas, y en general dan mucha informacion sobre el poseedor. Una foto, un logo y nombre de la persona.

Una puerta Antitailgating, pocos lugares tienen algo como esto.

LOCKBUMPING Y LOCKPICKING es el arte de abrir cerraduras, digamos que se necesita acceder a un documento que olvidamos en un cajon cerrado con un candado. Mediante esta tecnica se pueden abrir diferentes cerrojos, dependiendo de la complejidad las herramientas disponibles. Desde papel higienico hasta el cabo de una banana.

El DUMPSTER DIVING o la busqueda de informacion entre la basura, es algo muy conocido y que no deja de utilizarse ya que las empresas continuan arrojando a la basura documentos de todo tipo.

d3ny4ll.blogspot.com

27


Quienes vivan en Buenos Aires saben que es algo tradicional el arrojar documentos y papeles desde las ventanas de los edificios de oficinas a fin de a単o.

Por ultimo el SHOULDER SURFING es el hecho de espiar por encima de los hombros cuando otra persona ingresa datos, aunque tambien se puede utilizar para ver que programas ejecuta en su maquina, que version de SO utiliza, privilegios que tiene....( foto flickr ) En la foto original se puede ver que la maquina utilizada es un Lenovo T60p, tiene windows XP y el navegador es Firefox. Parece ser una persona que trabaja en seguridad informatica, ya que tiene bookmarks a sitios de steanografia, Por lo tanto seguridad fisica es tan importante como la seguridad logica, la educacion del usuario es fundamental y por supuesto contar con una politica de seguridad de la informacion que contemple estas amenazas.

Videos Online No Tech Hacking - Johnny Long - CSC http://www.youtube.com/watch?v=5CWrzVJYLWw Lock Picked con el tubo de un rollo de Papel Higienico http://www.youtube.com/watch?v=as-CPdf-rKI Como fabricar Lock Picks http://www.youtube.com/watch?v=auQbi_fkdGE

d3ny4ll.blogspot.com

28


BEST PRACTICES PARA EL MANEJO DE EVIDENCIA DIGITAL Segun Sebastian Gomez, Perito Informatico, un punto crítico a considerar es el recurso humano que realiza los secuestros de material informático. En la mayoría de los casos, los allanamientos son realizados por personal policial que no cuenta con los conocimientos necesarios para la identificación de potencial evidencia digital La omisión de algunos aspectos técnicos puede llevar a la perdida de datos probatorios o a la imposibilidad de analizar cierta información digital. Esta es la guía de procedimiento del Servicio Secreto de los Estados Unidos para el manejo de evidencia digital. Introduccion Alcance del problema. Las computadoras , los medios de almacenamiento los dispositivos de comunicacion han profilerado en nuestra sociedad, y por lo tanto el uso de estos dispositivos en las actividades criminales. d3ny4ll.blogspot.com

La tecnologia es empleada por los delincuentes como medio de comunicacion, para robar y extorsionar y como almacenamiento para ocultar evidencia o para realizar contrabando de materiales. Los oficiales de la ley deben poseer conocimientos actualizados y el equipamiento necesario para poder investigar y perseguir a los individuos y a las organizaciones que usan estas y otras tecnologias emergentes para soportar sus operaciones ilicitas. Reconociendo Evidencia Potencial Las computadoras y los medios digitales estan cada vez mas envueltos en actividades ilicitas. Investigacion de actividades criminales pueden producir evidencias electronicas. Computadoras y evidencias relacionadas pueden ir desde mainframes a PDA , floppy disks, CD o medios de almacenamiento mas pequeños. Es imperativo que los oficiales reconozcan, protejan,manejen y busquen estos dispositivos de acuerdo con las politicas, mejores practicas y guias de uso. 29


Respuestas a las siguientes preguntas determinaran mejor el rol de la computadora en el delito :

evidencia ? Como seran realizadas las busquedas de pruebas ?

Es la computadora fruto de un crimen ? Por ejemplo, fue la computadora o el software robado ?

Preparandose para la busqueda o utilizacion

Es la computadora una herramienta que participo en el crimen ? Por ejemplo, fue el sistema usado activamente por el sospechoso para cometer el delito ? Fue usada la computadora, el scanner o la impresora para preparar documentacion falsa ? Es la computadora usada solo en forma casual para cometer el delito, por ejemplo almacena evidencia. ? Por ejemplo un vendedor de drogas que mantiene su informacion de ventas en la computadora. Fue la computadora usada para cometer el delito y almacenar evidencia ? Por ejemplo si un hacker la utilizo para cometer el delito y para almacenar informacion tarjetas de credito robada ? Una vez que el rol del sistema es definido, se deben responder las siguientes preguntas : Hay un hecho que amerite tomar el hardware como evidencia ? Hay un hecho que amerite tomar el software como evidencia ? Hay un hecho que amerite tomar los datos como d3ny4ll.blogspot.com

Usar evidencia obtenida de una computadora en un procedimiento legal requiere : Tiene que existir una causa para la emisi贸n de una orden de cateo o una excepci贸n al requisito de emision de la orden de cateo. Atencion: Si encuentra evidencia potencial que puede estar fuera de su alcance o de su autoridad legal, contacte al consejero legal de su agencia en caso de necesitar una orden adicional. Use las tecnicas apropiadas para no alterar o destruir la evidencia. Realizar un examen forensico del sistema por parte de personal autorizado para ser utilizado como testimonio en un juicio. Realizando la busqueda y/o toma de la prueba.

Una vez que el rol fue determinado y los requerimientos legales cumplidos. 1) Asegure la escena Un oficial de seguridad es imprescindible. Preservar el area por potenciales huellas. Restriccion inmediata de acceso a las computadora(s) Desconectar las lineas de telefono ( para evitar 30


2) Asegurar la computadora como evidencia. Si la computadora esta apagada "OFF", no la encienda "ON" Si la computadora esta encendida "ON" --Equipos sin red Consulte un especialista en computadoras Si el especialista no esta disponible. Fotografie la pantalla, entonces desconecte todas las fuentes de energia, desconecte el equipo de la pared y de la fuente de la computadora. Ponga una cinta de evidencia en cada slot de disco. Fotografie/ y haga un diagrama de la parte de atras de la computadora con las conecciones existentes. Marque todos los conectores/cables para permitir rearmarlo luego. Si el transporte es requerido, empaquete los componentes y transporte/almacene los componentes como carga fragil. Mantenga alejada de imanes, radios y otros ambientes hostiles. --Computadoras en red o en oficinas Consulte un especialista en computadoras Desconectando el cable de red puede: Causar un da単o severo al sistema Detener sistemas legitimos Crear un problema en la investigacion. Otros dispositivos electronicos Otros dispostivos electronicos pueden contener evidencia asociada con actividad criminal. A menos que exista una emergencia, el dispositivo no debe ser accesado. En caso de ser necesario accesar, todas las acciones asociadas con el manejo del equipo deben ser anotadas para documentar la cadena de custodia u asegurar su admision en la corte. Telefonos inalambricos Evidencia potencial contenida en telefonos inalambricos. Numeros llamados d3ny4ll.blogspot.com

Numeros almacenados en marcado rapido Caller ID para llamadas entrantes Otras informaciones acontenidas en la memoria Telefonos y numeros de pagers Nombres y direcciones PIN Numeros de accesos a Voice Mail Passwords de Voice Mail Numeros de tarjetas de Debito Numeros de tarjetas de llamadas Email/ Informacion de acceso a internet La pantalla de encendido puede contener otras informacion valiosas. Regla de Encendido/Apagado Si el dispositivo esta Encendido "ON" no apagarlo "OFF" Apagandolo puede activar el bloqueo Escriba toda la informacion en el display ( fotografie si es posible) Apaguelo antes de transportalo( Tome todos los cables de energia ) Si el dispositivo esta apagado "OFF", no lo encienda "ON" El encendido puede alterar evidencia. Una vez decomisado llevelo a un experto o contacte a un proveedor de servicios. Si un experto no esta disponible, use otro telefono para contactar a 1-800-LAWBUST ( servicio 24x7 de la industria de telefonos celulares ) Ponga el mayor esfuerzo en encontrar los manuales. Pagers Evidencia potencial contenida en un Pager Pagers Numericos ( reciven solo numeros, pueden ser usados para comunicar numeros y codigos ) Pagers Alfanumericos. ( Reciben numeros y letras, pueden ser usados para comunicar texto ) Pagers de Voz ( Pueden transmitir mensajes de voz ) TWO WAY Pagers ( contienen mensajes entrantes/salientes) 31


Mejores Practicas. Una vez que el pager esta lejos del sospechoso, apaguelo. Continuar accesando al pager sin la autorizacion apropiada puede ser juzgado como una intercepcion ilegal de comunicaciones electronicas. Busque por el contenido.

Quien es el propietario ? Cuando fue emitida? Cuales son los usos de la tarjeta ? Porque tiene diferentes tarjetas ? Puede la computadoras o el dispositivo alterar la tarjeta ? Tracing un E-mail Reading an E-mail Header:

Maquinas de FAX Los FAX pueden contener Listas de numeros rapidos Fax almacenados ( entrantes salientes) Losgs de transmision (entrantes salientes) Lineas de encabezado Seteo de reloj Mejores Practicas. No apague la maquina, de otra manera perdera el ultimo numero marcado y los faxs alamacenados Todos los manuales del equipo deben ser decomisados con el equipo Caller ID Pueden contener informacion de llamadas entrantes. No los apague para evitar perder informacion Documente toda la informacion almacenada antes del decomiso Smart Cards Las tarjetas con chips tienen un microprocesador que puede almacenar saldos y otras informaciones. Son similares a tarjetas de credito o licencias de conducir. Fotografie la tarjeta Examine por posibles modificaciones Preguntas a realizar cuando se encuentran estas tarjetas. d3ny4ll.blogspot.com

----- Message header follows ----(1) Return-path: (2) Received: from o167832.cc.army.mil by nps.navy.mil (4.1/SMI-4.1) id AAO868O; Thur, 7 Nov 96 17:51:49 PST (3) Received: from localhost byo167832.navy.mil (4.1/SMI4.1) id AA16514; Thur 7 Nov 96 17:50:53 PST (4) Message-ID: <9611080150.aa16514@o167832.cc.army.mil> (5) Date: Thur, 7 Nov 1996 17:50:53 -0800 (PST) (6) From: "M. Bottoms" (7) To: Tom Whitt (8) Cc: Real 3D , Denis Adams , Joe Arion

Line (1) tells other computers who really sent the message and where to send error messages (bounces and warning). Line (2) and (3) show the route the message took from sending to delivery. Each computer that receives this message adds a Received field with its complete address and time stamp; this helps in tracking delivery problems. Line (4) is the Message-ID, a unique identifier for this specific message. This ID is logged, and can be traced through computers on the message route if there is a need to track the mail. Line (5) shows the date, time, and time zone when the message was sent. Line (6) tells the name and e-mail address of the message originator (the "sender"). Line (7) shows the name and e-mail address of the primary recipient; the address may be for a: mailing list, system-wide alias, a personal username. Line (8) lists the names and e-mail addresses of the "courtesy copy" recipients of the message. There may be "Bcc:" recipients as well; these "blind carbon copy" recipients get copies of the message, but their names and addresses are not visible in the headers. 32


Tratamiento grafico de logs de Firewall

Estoy trabajando en el tratamiento grafico de los logs de firewall en base a un articulo que lei en la revista Sysadmin Aclaro que no soy un experto en GNUPLOT ni en scripting, por lo cual seguramente encontraras errores, recordas la frase que dice, una imagen es mejor que mil palabras ? En mi caso solamente los FW que administro, producen 15.000.000 de eventos diarios, por lo cual tener una herramienta para el analisis de los logs en forma grafica seria una buena manera de detectar patrones, o errores que nos alerten de eventuales amenazas que estemos sufriendo. Si bien no es una herramienta proactiva, es mejor que nada. Los scripts son similares a los de la pagina que mencione, con alguna peque単a modificacion que permite trabajar con el patron de los logs del Firewall. d3ny4ll.blogspot.com

33


Basicamente el flujo de trabajo consiste en : Download del log --> Filtro campos interesantes ---> Tratamiento grafico. Por el momento todo es muy artesanal, pero con un poco de tiempo se puede automatizar todo el proceso. Una tipica linea de Firewall consiste en los siguientes campos : "258" "11Mar2008" "23:57:53" "xxxxxxxxxxxxxxxx" "eth1c0" "172.16.5.2" "Log" "Accept" "80" "200.225.159.26" "20.111.10.18" "tcp" "65" "50174" "" "" Los campos mas interesantes :

Fecha : "11Mar2008" Hora : "23:57:53" Status : "Accept" Port Destino : "80" IP Origen : "200.225.159.26" IP Destino : "20.111.10.18" Una vez bajado el archivo tenemos que quitar del las IP de origen todas aquellas que pertenezcan a nuestro rango, de otra manera el grafico se vuelve confuso. Luego se ejecuta el siguiente script en perl ( Al cual tengo que agregarle la funcion de quitar las IP nuestras ) : # # prepare-for-gnuplot.pl: convert Firewall log files to gnuplot input # Raju Varghese. 2007-02-03 # # XXXXXXXXXXXXX. 2008-03-10 # use strict; my $tempFilename = "/tmp/temp.dat"; my $ipListFilename = "/tmp/iplist.dat"; my (%ipList, %urlList); sub ip2int {

d3ny4ll.blogspot.com

my ($ip) = @_; my @ipOctet = split (/\./, $ip); my $n = 0; foreach (@ipOctet) { $n = $n*256 + $_; } return $n; } # prepare temp file to store log lines temporarily open (TEMP, ">$tempFilename"); # reads log lines from stdin or files specified on command line while (<>) { chomp; my ($time,$sc,$port,$sip,$dip) = split; # $time =~ s/\[//; # next if ($url =~ /(gif|jpg|png|js|css)$/); print TEMP "$time $sc $port $sip $dip\n"; $ipList{$sip}++; $ipList{$dip}++; } # process IP addresses my @sortedIpList = sort {ip2int($a) <=> ip2int($b)} keys %ipList; my $n = 0; open (IPLIST, ">$ipListFilename"); foreach (@sortedIpList) { ++$n; print IPLIST "$n $ipList{$_} $_\n"; $ipList{$_} = $n; } close (IPLIST); close (TEMP); open (TEMP, $tempFilename); while () { chomp; my ($time, $sc, $port, $sip, $dip ) = split; print "$time $sc $port $ipList{$sip} $ipList{$dip} \n"; } close (TEMP);

34


Este script realiza lo siguiente , primero genera una lista ordenada de IP,s origen ( SIP ) y destino ( DIP ) con la cantidad de eventos por IP : Por ejemplo : 48797 48798 48799 48800

7 7 7 3

224.212.150.4 224.212.151.10 224.212.151.26 239.255.255.250

En donde el primer campo es el ID asignado a la IP, luego vienen el numero de eventos y por ultimo la IP. Luego de esto , el script genera el archivo de relacion, entre IP's de origen y destino, el cual sera tomado por GNUPLOT para hacer el ploting. Por ejemplo : 11Mar2008 0 80 39893 28234 11Mar2008 1 80 41524 30483 Dado que gnuplot no puede trabajar con texto, modique el valor del campo status de "Accept" a 1 y "Drop" a 0.

rgb(r) = (r==1)? (238): (r==0)? (16711680):(16711680) splot "test.input" using 4:5:3:(rgb($2)) with dots lc rgb variable

Esto signfica lo siguiente : * Que genere puntos por cada "evento" ingresado * Que el grafico este a nivel del 0 de las coordenadas cartesianas. Labels de los ejes * En mi caso las IP's que tengo se encuentran en este rango, por lo tanto lo limito . * Para un evento permitido (Accept) que lo pinte "azul" ,para un evento rechazado (Drop ) que lo pinte "rojo". * Que genere un grafico tridimensional con X:Y:Z: y el status del evento como variable R . Esto generara una grafico con todos los eventos entrantes ( en este caso son 1.2 millones ) :

Esto tambien tengo que agregarlo al script, por el momento lo hago con awk. Volviendo al archivo generado, este tiene los campos Fecha,Status,Puerto,IP ORIGEN, IP DESTINO. Una vez con el archivo generado, ejecutamos gnuplot A gnuplot en mi caso le doy las siguientes instrucciones : set set set set set set

style data dots ticslevel 0 zlabel "Ports" xlabel "SIP address" ylabel "DIP address" yrange[30400:30600]

d3ny4ll.blogspot.com

35


De esta imagen podemos sacar varios datos interesantes : Vemos lineas azules que corren paralelas en los puertos mas bajos, evidentemente son los puertos que van desde el ftp en el puerto 21 hasta el ssl en el puerto 443. En este caso son dos lineas porque tengo dos

Aca se notan muchos Drops en el rango tcp 135 como tambien varios rechazos en el rango que va del ftp ( tcp 21 ) ssh ( tcp 22 ) y smtp ( tcp 25 )

rangos de ip separados. Veamos esto desde mas cerca, restringiendo el rango de puertos a los primeros 450. Ejecutamos el siguiente comando set zrange[0:450] plot "test.input" using 4:5:3:(rgb($2)) with dots lc rgb variable

Para esto reducimos el rango de IP sources al campo que nos interesa : set xrange[24000:24500]

Ahora veamos en mas detalle una de las lineas rojas que estan en el rango cercano al 25000 y que evidentemente es un scanning de todas las IP de mi rango publico.

d3ny4ll.blogspot.com

Reducimos una vez mas para tener mas precision y vemos que la IP origen tiene un ID cercano al 24060:

36


Veamos que IP corresponden a este ID y que tipo de scan realizo. Del archivo de Ip's : 24060 24061 24062 24063 24064 24065 24066

22 200.129.159.249 29 200.129.161.8 10 200.129.162.10 2 200.129.163.9 231 200.129.168.202 32 200.129.178.85 129 200.129.178.171

Del archivo correlacionado :

12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008

0 0 0 0 0 0

22 22 22 22 22 22

24064 24064 24064 24064 24064 24064

28267 28260 28275 28287 28206 28296

d3ny4ll.blogspot.com

12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008 12Mar2008

0 0 0 0 0 0 0 0 0 0 0 0 0

22 22 22 22 22 22 22 22 22 22 22 22 22

24064 24064 24064 24064 24064 24064 24064 24064 24064 24064 24064 24064 24064

28280 28210 28215 28283 28293 28217 28227 28298 28301 28234 28300 28307 28313

Esto podemos llamarlo un scanning horizontal, en el cual todas las IP del rango son scaneadas en un solo puerto. Veamos ahora un scanning vertical, en el cual una IP es scaneada en varios puertos.

37


TO-DO para esto es terminar los scripts, y embeber esto en una pagina web para poder

d3ny4ll.blogspot.com

hacer esto en forma dinamica, creo que las posibilidades son muy interesantes.

38


CHEAT SHEET Una cheat sheet o crib sheet o como se conoce en Argentina con el nombre de Machete es una lista de notas usadas como referencia rapida. El termino cheat sheet se origina en el uso de estas referencias sin el conocimiento del profesor durante examenes. Fuera del ambito escolar estas referencias son publicadas como ayuda memoria y son muy utiles para el trabajo diario. Las referencias que se encuentran linkeadas en este post son en su mayoria en PDF, por lo cual pueden imprimirse en el formato que se muestan en la pantalla. Por ejemplo una muestra de como luce un Machete de comandos de Unix/Linux

d3ny4ll.blogspot.com

39


O una referencia rapida de google :

d3ny4ll.blogspot.com

40


En este post dejo una Cheat Sheet conteniendo links a paginas con estas referencias a varios sistemas que pueden ajudar por ejemplo durante un PenTest . Generales cheat-sheets.org contiene Referencias de todo tipo desde Ada, Google, Firefox,Regular Expressions, PHP, Oracle, SQL...etc. Add Bytes Contiene referencias de Rails, Html,Warcraft,SQL Server... Unix/Linux Linux-Unix cheat sheets - The ultimate collection En esta pagina de Scott Klarr se encuentran cerca de 50 referencias a comandos de Linux, AIX, Solaris,awk,bash. Todas se pueden bajar en pdf y estan muy bien formateadas para imprimir. Sql Injection

d3ny4ll.blogspot.com

Una referencia para test de sql injection en Operation N , hay codigo para Microsoft SQL Sybase, MySQL, Oracle, PostgreSQL, DB2, Ingres XSS En la pagina de hackers.org tenemos una detallada referencia de codigo para test de Cross Site Scripting. Desarrollo Web En la pagina Succor.co.uk hay varias cheat sheets sobre web dev(html,xslt,css..), lenguajes (net, ruby on rails, phyton ),frameworks... Networking Una de las mas espectaculares paginas de cheat sheets de la lista esta en PacketLife Contiene referencias de BGP,IPSEC,IPv6,MPLS,VLANS y todas muy bien presentadas.

41


HACKERMEDIA O site HackerMedia tem toda a multimídia relacionada ao hacking, videos,podcast, radio online. Eles fazem enlaces de diferentes sítios que tem multimídia. Um vídeo muito legal da semana e "Sim Cards Reader and Payphones with Phil Torrone and Ladyada" do site CitizenEngineer. "Learn how a SIM card works (the small card inside GSM cell phones) make a SIM card reader, view deleted messages, phone book entries and clone/crack a SIM card.

Modify a "retired" payphone so it can be used as a home telephone and for VoIP (Skype). Then learn how to modify the hacked payphone so it accepts quarters - and lastly, use a Redbox to make "free phone" calls from the modified coin-accepting payphone" Também gostei dos podcast do Pauldot.com, eles fazem reportagem e dan dicas de segurança. O legal e que você pode acessar a wiki deles com os temas do show.

SANS.org Trend es un intento de mostrar el incremento de actividad de un port, en este caso se compara la situacion actual (04/11) con los ultimos 30 dias. www.sans.org The "Trend" is an attempt to put a number to the increase in activity for a given port. Right now, I am comparing the last 24 hours to the last 30 days.

Una comunidad de informacion hispanoparlante donde podras hacer consultas sobre informatica, compartir experiencias y hacer amigos que hablan un mismo idioma... el de las computadoras.

pcmasmas.com.ar d3ny4ll.blogspot.com

42


The Information Security in the Middle Ages Ok, so this is my first post in english, sorry for my grammatical errors !!! Among the centuries V and XV Europe lived in the dark ages. While the Middle East flourished in the knowledge and the Muslims invented the cryptoanalisis in ocidente all the information was monopolized by the church. The monasteries are the databases where they were stored knowledge of man. And who possesses the information has the power, the church that had the monopoly of knowledge only allowed access to a select group of monks. These monks in monasteries had confined the work of copying the ancient Greek works, many of them against of the church ideas. The access to such information and disseminate it could lead to the person to be charged for heresy and end in a court inquisitor.

Franciscan monks. In contrast to the monastic orders, dedicated to the contemplative life in monasteries, this order was dedicated to coexistence in the secular world and sought to defend the Christian faith by preaching and by the use of reason. A perfect example of information security at the Middle Age is given in the movie "The Name of the Rose." A summary of the argument: In the winter of the year 1327, under the papacy of John XXII, Adso of Melk and his teacher William of Baskerville come to an abbey, famous for his impressive library with strict access rules, located in the Italian Alps for a meeting between Delegates of the Pope and the Emperor and be able to discuss the alleged heresy of a branch of the Franciscans: the spiritual.

But even in these dark times there were people who search the knowledge, these were the d3ny4ll.blogspot.com

43


In the following passages of the film we see the safety standards of the monastery to protect the information contained in the library and as it is "hacked". We can make a parallel between the characters of the movie and the present. Let's say that the Library is a Database. The Librarian is the Firewall (obviously with very strict rules only said "NO" ;-)) Adso of Melk and his teacher William of Baskerville are the first hackers. In the early scenes they are doing a recognition of the objective , then try to access the database and are rejected by the firewall and finally found a backdoor and get the prize. Is a very geek interpretation, but this book is excellent!

Video Online http://www.youtube.com/watch?v=VU-bTRWt5QU

d3ny4ll.blogspot.com

44


Ten Commandments of Secure development

Input is evil It’s better to consider that users or external systems that communicate with your application may be someday harmful for your application E.g.: -A user that tries to input unexpected data in a form -A partner’s system, with privileged access to one of your applications, that is compromised by a hacker or worm and tries to attack your network

d3ny4ll.blogspot.com

45


Minimize Attack Surface

Use defense in depth The whole application security should not be based on only one security measure. Since applications are often divided in different layers, each layer should have it own security functions. Example: On UNIX systems, passwords are stored encrypted in /etc/shadow file AND access to this file is restricted (only root has access to it).

Fail securely When an application crashes, it can become suddenly more vulnerable and provide very interesting information to a hacker So, all errors must be trapped, detailed error messages must not be sent to the user (on production systems) and a log entry should be safely written at the server side (log file, mail ‌)

d3ny4ll.blogspot.com

46


Never depend on Security Through Obscurity It means that hiding vulnerable components while hoping that hackers won’t find them does not make a system more secure! Indeed, hackers have automated tools that allow to identify vulnerable components even if they aren’t in common places However, it’s always better to hide information that do not need to be known by attackers (type and version of an application engine, etc.)

Learn from mistakes Applications become more and more complex while their development time is lower and lower. It is a source of mistakes. When a security flaw is identified, it’s important to check that the same kind of problem can’t be found somewhere else in the application Better is to analyse why the mistake has been done and be sure it won’t happen again in the future

Security feature != Secure feature Using SSL, encryption, digital signature, etc. don’t necessarily make applications more secure! E.g. : a very badly written application using SSL won’t be more secure: it will only provide confidentiality to the transmitted data and encrypt attack attempts as well! So, security has to be thought globally and, only after, implemented using security mechanisms Security is not a product or a feature, it’s a process d3ny4ll.blogspot.com

47


Enforce the Least Privilege Principle It’s one of the most important security principle All privilege given to an application or user must be the least possible Why ? If an application or component is running under admin rights (root) and a vulnerability allowing remote code execution is identified, a hacker could get the admin rights and control the whole system…

Separate privileges If high privileges are required for an application to perform a specific task, the corresponding code has to be isolated in a dedicated component running with high privileges, when the remaining components of the application will run under lower rights Examples Apache’s parent process is running with admin rights, its children (serving http requests) under “nobody”

Windows Management Instrumentation Commands Update static IP address

get name,processid

wmic nicconfig where index=9 call enablestatic("192.168.16.4"),

Information about harddrives

("255.255.255.0")

wmic logicaldisk where drivetype=3 get name, freespace, systemname, filesystem,

Change network gateway

size, volumeserialnumber

wmic nicconfig where index=9 call setgateways("192.168.16.4",

Information about os

"192.168.16.5"),(1,2)

wmic os get bootdevice, buildnumber, caption, freespaceinpagingfiles,

Enable DHCP

installdate, name, systemdrive,

wmic nicconfig where index=9 call

windowsdirectory /format:htable >

enabledhcp

c:\osinfo.htm

Service Management

Information about files

wmic service where caption="DHCP Client"

wmic path cim_datafile where

call changestartmode "Disabled"

"Path='\\windows\\system32\\wbem\\' and FileSize>1784088" > c:\wbemfiles.txt

Start an application wmic process call create "calc.exe"

Process list wmic process get /format:htable >

Terminate an application

c:\process.htm

wmic process where name="calc.exe" call terminate

Retrieve list of warning and error events not from system or security logs

Change process priority

WMIC NTEVENT WHERE "EventType<3 AND

wmic process where name="explorer.exe"

LogFile != 'System' AND LogFile !=

call setpriority 64

'Security'" GET LogFile, SourceName, EventType, Message, TimeGenerated

Get list of process identifiers

/FORMAT:"htable.xsl":" datatype =

wmic process where (Name='svchost.exe')

number":" sortby = EventType" > c:\appevent.htm

d3ny4ll.blogspot.com

48


Surveillance State Vos qu茅 sabes ?

Tan importante como el cuidado de la informacion de una empresa, es el cuidado de nuestra propia informacion. Todo el tiempo estamos siendo filmados, nuestros datos son registrados en sitios gubernamentales, empresas, internet. A diferencia de la ley 25.326 de PROTECCION DE LOS DATOS PERSONALES, sancionada en Octubre 4 de 2000 que trata sobre :

filma la vida de unos patos salvajes. Durante el comienzo hay escenas de situaciones reales filmadas por camaras de vigilancia y camaras de noticieros, luego en el film muestran la posibilidad de seguir a una persona utilizando las camaras de todos los sitios posibles.

" Principios generales relativos a la protecci贸n de datos. Derechos de los titulares de datos. Usuarios y responsables de archivos, registros y bancos de datos. Control. Sanciones. Acci贸n de protecci贸n de los datos personales. En este post trato de dar una introduccion al derecho a conocer como y que datos nuestros datos son almacenados por el Estado. Seguramente recordaran el filme Enemy of the State donde agentes de la NSA tratando de conseguir los votos necesarios para aprobar una ley del tipo Big Brother, matan a un juez y son filmados "paradojicamente" por una camara que d3ny4ll.blogspot.com

49


En un post anterior un conocido en otro sitio me refirio la siguiente historia, que resulto real. En Inglaterra, mas precisamente en la ciudad de Manchester un grupo de musica sin dinero ( o teniendo una idea brillante ) utilizo el derecho a su imagen del Freedom of Information Act para reclamar las escenas donde sus imagenes habian sido grabadas, luego de pararse en diferentes sitios de la ciudad tocando un tema. Con 13 millones de camaras en toda Inglaterra, no fue dificil encontrar donde ubicarse... Este es el video : *OFFICIAL* CCTV MUSIC VIDEO - The Get Out Clause - Paper

cualquier persona u entidad que deba cumplir con las regulaciones o esten bajo su control, o creado por fondos del gobierno. Es decir que tendriamos acceso a toda imagen de cualquier empresa subsidiada por el gobierno ( subtes, omnibus, aerolineas.... ) En Argentina se puede pedir cualquier imagen nuestra que tenga el gobierno ( utopia ? ), o al menos las leyes nos da este derecho. Durante la semana del 20 al 27 de mayo del 2007 se llevo a cabo la campana VOS SABES ? Uno de los puntos de la misma fue la entrega de la Guía práctica para el accesoa la información pública. La cual se puede acceder desde aca : http://www.freedominfo.org/document s/Vos%20Sabes%20-%20National.pdf Segun esta nota del diario La Nacion : Entre estaciones de trenes y subterráneos hay 720 cámaras que filman los movimientos en los andenes del área metropolitana (ciudad de Buenos Aires y conurbano bonaerense), informaron fuentes del Ministerio del Interior.

http://www.youtube.com/watch?v=98u1 HuqS7Nk

Por ultimo las camaras de prefectura en Puerto Madero son otro lugar donde estamos vigilados por el Gran Hermano.

En Argentina la Constitucion todabia no contiene una clausula que garantice el acceso a la informacion publica. En el ano 2003 el presidente Kichner firmo un decreto de ACCESO A LA INFORMACION PUBLICA (Decreto 1172/2003 ) Este se aplica a cualquier entidad,organismo o compania que este bajo la orbita del poder ejecutivo nacional o que este subsidiado por el poder ejecutivo nacional. Informacion es definida como cualquier documento, grabacion, fotografia en medio impreso o magnetico, creado u obtenido por d3ny4ll.blogspot.com

Con Google es facil encontrar camaras online:

inurl:"axis-cgi/jpg" o tambien intitle:"everfocus edsr applet"

50


D3NY4LL.BLOGSPOT.COM



Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.