Archive for January, 2008

For security people traveling to Washington, DC

Thursday, January 31st, 2008


Love security?

If you are an information security guy/fellow, you are going to visit Washington, DC, and you are not from the middle east, we strongly recommend to go to the Spy Museum.

The first journey in this place, is the museum itself. This is self-guided, and you should have enough neuronas, time and strong in your legs to invest at least 4 hours. If you are going in the afternoon, you will only case the joint. Take your time.

There are places inside where you would like to employ more time, so do not waste it by gathering everything. The table dedicated to the enigma machine is a fabulous point into the journey. Until now, I have not find a better place where you can learn, test and crack about the Enigma machine. Museum could be wonderful both for children/teens and professionals into the security arena.

Your second journey, which you can repeat with no cost every-day, after your first visit, is the spy-store. There are a bunch of different options to pick-up, obviously with cost. If you want save money, bring your laptop and catch a wifi network to browse and to compare with Amazon’s prices.

The last one is the Operation Spy, which you have a trailer into the web-page.

Finally, if you want to fill your geek heart, and you are in the right week, do not forget to visit the 2600 Friday’s meetings.

Javier Romero
JaCkSecurity, CTO
conocimiento, conciencia y consultoría

Hacker Techniques, Exploits and Incident Handling

Tuesday, January 29th, 2008

El 7 de junio del 2008, iniciará el primer curso SEC 504 en Perú. SEC 504 es el segundo curso más popular de las conferencias SANS, y ha sido escrito por el autor de Fighting Malicious Code y Counterhack, Ed Skoudis. Hacker Techniques, Exploits and Incident Handling, será dictado en Lima en modalidad local-mentor, por nuestro CTO.

La modalidad local mentor viene siendo la más recomendada para la economía y disposición de tiempo de ejecutivos y profesionales locales (Perú). Aquí un video donde Ed Skoudis narra el contenido de este curso.

Aunque el curso es presencial, los interesados de otras regiones latinas que no disponen de uno similar en su localidad pueden hallar en la web de SANS otras modalidades, o si lo prefieren derivarnos su inquietud a info[@]jacksecurity.com.

Anti-security Awareness (ES)

Tuesday, January 29th, 2008

Si su compañía no imparte conciencia de como proteger sus sistemas en sus empleados, piense qué sucederá cuando estos últimos por sí mismos tomen conciencia de cómo romper las nuevas prácticas y políticas de seguridad. Esto recuerda la prioridad que tienen los padres de enseñar a los chicos acerca del sexo, en casa y no fuera de ella. ¿Dónde preferiría Ud. que sus hijos aprendan de éste tema, en casa o fuera de ella?

Artículos, como los que vistos abajo, estropean su seguridad. Por eso, los especialistas de seguridad deben mantener su ojos en la lectura diaria de cosas como esas, y así evitar el anti-security awareness.

Le recomiendo estar alerta de este tipo de novedades, subscríbase a nuestro boletín de los lunes, JaCkNews, el mismo que puede ser seguido (parcialmente) desde feedburner.

Lo que tu departamento TI no quiere que sepas (PCWorld Perú)
7 Things Your Company’s IT Department Doesn’t Want You to Know
Seven things your IT department doesn’t want you to know
Ten Things Your IT Department Won’t Tell You

Si tiene interés en desarrollar y desplegar un plan de concientización de seguridad, le recomiendo, revisar nuestra oferta JaCkBasis.

Javier Romero
JaCkSecurity, CTO

Anti-security awareness (EN)

Monday, January 28th, 2008

If your company do not aware about security practices to their fellows and employees, think about what will happen when your employees aware themself about how to break any security practices and policies. This recalls the parental priority to teach about sex to your kids at home. Where do you prefer your kids learn about sex? At home, or out of it?

Articles, like those quoted bellow, breaks your security. Infosecs must keep their watching and reading every day to prevent this anti-security awareness. If you can read Spanish and want to be alert about this an other newsbreaks, I recomend to sign to our monday’s bulletin, JaCkNews, which also available through feedburner.

Lo que tu área de TI no quiere que sepas
7 Things Your Company’s IT Department Doesn’t Want You to Know
Seven things your IT department doesn’t want you to know
Ten Things Your IT Department Won’t Tell You

If you has interest to develop and deploy a plan to security awareness, please check our offer JaCkBasis.

Javier Romero
JaCkSecurity, CTO

Pharming, un excelente compendio

Thursday, January 24th, 2008

El Departamento Especializado en Seguridad – Internet de TELMEX, ha publicado un excelente compendio de las aristas detrás del pharming. A ellos les dejamos éste comentario:

Amigos, Este es un excelente compendio técnico del problema con el pharming. Efectivamente, vía CSRF (Cross-site request forgery), un router DSL puede recibir comandos maliciosos para la actualización o mas bien reemplazo de los DNS por defecto, al aprovechar una sesión pre-existente. En tal caso, no es necesario que se tenga una password por defecto en el router DSL, mas bien, que los usuarios víctima no sigan vuestra recomendación de no caer en trampas de ingeniería social o visitar páginas poco confiables. Pero, como también dijeron, incluso con toda esta recomendación nada es seguro. Últimamente las páginas confiables no son tan confiables (ellas son víctimas de hacking para regar malware u abusos XSS que anda fuertemente de moda). Quizás, sea bueno asegurarse que el router no permite ese session riding, aunque eso complica el asunto para un usuario promedio. Por tanto, lo mejor sería evaluar otros mecanismos más a la medida de cada quien, quien sabe, hasta menos rebuscados, como pagar un seguro por fraude electrónico por Internet.

JaCkSecurity’s Staff

¿Quieres más? Puede visitar el blog de Jeremías Grossman el co-fundador de WhiteHat Security.

Las leyes también saben hackear

Thursday, January 24th, 2008

Para tomar el control de algo, hay ocasiones en que saber de leyes y del poder las mismas, hace más que tanta parafernalia hacker.

Quizás por ello, muchos oficiales y administradores de seguridad, nunca terminan de entender por qué sus gerentes siguen sin darle importancia a los asuntos y amenazas de la seguridad de la información, al estilo y forma que ellos aguardan.

Aquí la novedad:
JaCkNews

Comunicado JaCkSecurity: Cursos 2008

Wednesday, January 23rd, 2008

Hoy miércoles 23 de enero, JaCkSecurity.com S.A.C. lanza al mercado latino el circuito de cursos y certificaciones que auspiciará y promoverá durante el 2008.

Siempre con el fin de elevar la experticia de los profesionales, JaCkSecurity es un compañía de consultoría pragmática en seguridad de la información que por cuarto año consecutivo viene auspiciando y promoviendo cursos de prestigio y calidad internacional.

¿Novedades? JaCkSecurity trae dos novedades para éste año; en primer lugar, está el Seminario Oficial de Revisión del CBK CISSP con dos fechas (marzo y agosto) diferentes y con su respectiva pos fecha para los exámenes CISSP (también acogidos por JaCkSecurity); y en segundo lugar, el lanzamiento de la primera mentoría de SEC 504 (Hacking Techniques, Exploits and Incident Handling), el segundo curso más favorito en las conferencias SANS.

¡Eso no es todo!. El SEC 504 tendrá un CTF (capture the flag), es decir, un reto de hacking embebido.

Pero, aún hay más. Javier Romero, CTO de JaCkSecurity, nos informa que los cursos SANS tendrán un beneficio extra, para aquel que siga las instrucciones del brochure.

Si está interesado en los seminarios CISSP, y ya que se haya primero en el horizonte del calendario de cursos, conviene mencionar que JaCkSecurity está ofertando la posibilidad de doble ingreso. Si se inscribe a la primera fecha de los seminarios CISSP, el participante podrá ingresar totalmente gratis al segundo.

Programe su calendario, o descargue el brochure de Cursos 2008, y péguelo en el mural de su oficina, para que usted y otros colegas estén alertas. Recuerde que para los cursos SANS hay un descuento especial por grupo.

Finalmente, el contenido, los enlaces web, las formas y medios de pago están aclarados al detalle en el documento Brochure-Cursos2008-v1.pdf, descargable sin subscripción al portal desde aquí.

Estándar de seguridad en sistemas de escritorio en EE.UU.

Tuesday, January 22nd, 2008

La NIST (National Institute of Standards and Technology) se apresta a lanzar un conjunto de herramientas de auditoria para el nuevo estándar sobre computadoras de escritorio del gobierno de los EE.UU (estándar conocido como FDCC, Federal Desktop Core Configuration).

Las herramientas SCAP o Secure Content Automation Protocol serán terminadas el 1 febrero, fecha en que las agencias del gobierno de los EE.UU. habrán concluido de configurar el estandar FDCC.

Sin embargo, a fin de tener reportes oficiales de la validación de cumplimiento sobre el FDCC en cada agencia del gobierno americano, la OMB (Office of Management and Budget) y la NIST misma han extendido la fecha de cumplimiento -con reporte incluido- al 31 de marzo de este año.

De ser exitoso, este proyecto en su conjunto convertiría a los EE.UU. en el primer país, del que se sepa, en establecer requerimientos de seguridad claros sobre el uso de las computadoras de escritorio, y con capacidad para auditar su cumplimiento, para reducir así, la mayor cantidad de problemas de seguridad sobre los sistemas de escritorio.

Una de las medidas más básicas es el descender los privilegios de sistema y administrativos con el que los usuarios han estado acostumbrados.

Una estrategia muy bien pensada del gobierno americano, antes de aplicar a las prácticas TCB que aspira para el 2010. En la sicología del individuo, y en mi experiencia personal, hacia dos años en el futuro, muchos usuarios del gobierno americano, serán más adaptables hacia la polémica TCB, tan criticada por Richard Stallman.

Javier Romero
JaCkSecurity, CTO

El sexo en el hacking

Monday, January 21st, 2008

A continuación, un video de DEFCON 13 con el título: Exploring Gender Differences In Hacking.

El negocio del SPAM

Sunday, January 20th, 2008

Les dejamos con un curioso aviso laboral, extraído de nuestro buzón anti-spam.

ASUNTO: NECESITO URGENTE CON EXPERIENCIA, SUELDO S/. 1,000 NUEVOS SOLES

DISEÑADOR/A GRAFICO WEB JOVEN HONESTO Y RESPONSABLE QUE SEPA TRABAJAR POR OBJETIVOS Y METAS CON CONOCIMIENTOS BASICOS DE:

- DISEÑOS DE AVISOS PARA MAILING MASIVOS.
- DISEÑOS DE PAGINAS WEB HTML, PHP Y FLASH.
- DOMINIO DE PHOTOSHOP, COREL DRAW, ETC.
- DOMINIO DE DREAMWEAVER, SCRIPTS, FIREWORK, ETC
- PROGRAMACION EN PHP Y BASES DE DATOS MYSQL.
- EXPERIENCIA EN EMPRESAS DE HOSTING E INTERNET.

SUELDO BASICO S/. 1,000 NUEVOS SOLES.
PARA TRABAJAR EN LIMA – LOS OLIVOS
DE 9 A 6 P.M. DE LUNES A VIERNES.
GRATO AMBIENTE DE TRABAJO E INCENTIVOS.

INTERESADOS ENVIAR MUESTRAS DE TRABAJOS (INDISPENSABLE) A basesperuanas@speedy.com.pe

INFORMES 531-2046 9930-5440 825*1861

P.D. PROXIMAMENTE ESTAREMOS NECESITANDO OPERADORAS PARA VENTAS DE HOSTING QUE SEPAN A LA VEZ DAR SOPORTE Y CONFIGURACIONES.

Para consuelo de todos, este aviso no dice: “Se busca botnets para envío de SPAM”.

Tu password puede ser tu fecha

Wednesday, January 16th, 2008

Valide lo que sus gerentes y voceros declaren u opinen en asuntos de seguridad, en cualquier medio. Es una práctica esencial tanto para los gobiernos como para las compañías.

Javier Romero
CISSP GCIA GCSC SSP-GHD GWAS
JaCkSecurity, CTO

En una entrevista hecha por un medio televisivo, uno de los entrevistados, un gerente de una institución financiera, expresó indirectamente cómo él o los usuarios asignan o deberían asignar su contraseña.

Varios de los que vieron el programa, que incluyeron el Staff de JaCkSecurity y amigos, notaron casi instantáneamente el error del entrevistado, el que sin querer transmitió un concepto errado de cómo se crean las contraseñas, por ejemplo, usando la fecha de algo.

Aunque esa no era la idea del reportaje, ni mucho menos, el ejecutivo se dio cuenta de lo que casi se convierte en un consejo al literal (hagan sus contraseñas de esta manera). Inmediatamente después de decir la palabra equivocada, esta es fecha; él se corrigió, al sobrescribir su idea. Penosamente, el reportaje salió y se peremnizó así. Con toda certeza, un especialista en seguridad e, incluso, el mismo gerente hubiera solicitado la edición de esa parte de haber tenido el video en sus manos antes de salir al aire.

Hablando de otros temas relativos al phishing, las palabras fueron:

tu password físico o estático que puede ser la fecha[el entrevistado se corrije rápidamente] la que tu quieras colocarle.

Muy lejos de ser una crítica, este sútil error es un registro importante para recordar el porqué los profesionales, gerentes de TI y afines deben seguir el siguiente consejo:

  • Es ideal que toda -entrevista vía cualquier medio- dónde se toquen temas relevantes a la seguridad de una organización o sus clientes sea validada por el área responsable de la seguridad TI, o por los expertos de seguridad en dicha organización.

Es verdad, existen voceros en toda compañía de quienes se espera mayor desconocimiento de seguridad, pero no se trata de la subestimación, ni tampoco de la sobrestimación hacia un cargo. Aún en los niveles gerenciales de sistemas y TI, es posible ver pequeños errores, que por más comprensibles que estos sean, son errores que podrían transmitir una idea equivocada o inversa. Así, toda comunicación expedida hacia la prensa, en especial si su negocio depende del resultado de esa comunicación, debe ser validada siempre.

De igual modo, cabe bien una recomendación extra: Si Ud. ,amigo lector, piensa que crear contraseñas seguras es algo difícil, compruebe lo contrario, al leer esta publicación: Cómo crear contraseñas seguras por JaCkSecurity.

Finalmente y adicional a lo ya concluido, si busca ampliar su conocimiento estratégico gerencial de seguridad de manera integral, le invitamos a inscribirse al Seminario Oficial de Revisión del CBK CISSP de (ISC)2 que dicta JaCkSecurity, donde se revisan numerosos conceptos y consejos prácticos, que son de mucha utilidad en la carrera de un profesional de seguridad, sea que esté o no en pos de una certificación CISSP. Para más información escriba a “info[@]jacksecurity.com“.

Compendio de noticias de seguridad 2007

Tuesday, January 15th, 2008

JaCkSecurity ha preparado un archivo en PDF, que contiene todas las noticias difundidas durante el 2007, a través del boletín JaCkNews, al que están suscritos los usuarios del portal JaCkSecurity.

Cada lunes, los usuarios reciben estas noticias, comentadas por profesionales en práctica de la seguridad TI, y un resumen editorial pertinente y visionario, además de otras notas relevantes y novedosas. Para suscribirse a éste boletín usted sólo requiere ser usuario del portal, aplicable para los usuarios registrados desde el 2007.

Si usted es usuario desde el 2004, le rogamos volver a registrarse, y anularemos su antigua cuenta. Así, automáticamente será subscriptor del boletín.

Aquí la lista completa de editores del JaCkNews:
Aldo Romero, CISSP
Luis Mendoza, CISSP, MCSE
Martin Valdivia, CISA, CNA
Juan Dávila, CISA, BS 7799 LA
Claudia Prada, CBCP, ITIL

Puede descargar el compendio de noticias desde: http://www.jacksecurity.com/publicacion.php?idpub=70

Fallas inesperadas de energía en Lima

Monday, January 14th, 2008

Según el diario Peru.21, la repentina falla de energía que sufrió varios distritos de Lima (Perú), el pasado 9 de enero, se debió a la paralización de la planta de Camisea. Las dos compañías proveedoras de energía, como es Edelsur y Edelnor, tuvieron que desabastecer de energía a varias viviendas, debido a que parte del suministro se obtiene gracias a turbinas que aprovechan el gas de Camisea, y no el de las centrales hidroeléctricas del Perú.

En el caso de Edelnor, se sabe que la falla se complicó aún más cuando una de las dos turbinas que operan a gas, no pudo conmutar a diesel.

Aunque la noticia señala que el corte fue hacia viviendas, sabemos bien que los afectados no fueron sólo urbanizaciones habitacionales, lo que complicó las operaciones corrientes en más de un negocio, excepto aquellos que tuvieron algún plan de contingencia.

No obstante, nos preguntamos, si sería posible que la coincidencia desfavorezca tanto, al punto de producirse una falla en paralelo a las centrales hidroeléctricas (cualquiera de sus diversos puntos críticos en ella) y a la planta de producción de gas natural que ahora sabemos abastece a las empresas proveedoras de energía. ¿Dos fallas en paralelo? No es nada desquiciado, las fallas en paralelo son posibles (piense: falla la planta de gas, y falla la turbina que intentó conmutar a diesel).

Javier Romero
JaCkSecurity, CTO

En qué, cuándo y cómo se invierte en seguridad

Thursday, January 10th, 2008

JaCkSecurity ha publicado un nuevo documento titulado: “En qué, cuándo y cómo se invierte en seguridad”, el mismo que fuera presentado en uno de sus recientes eventos.

Introducción: No toda la industria de servicios y tecnología de la seguridad es mala y efímera, hay que reconocer que existen soluciones que sí aportan beneficios reales al negocio, es necesario identificar cuáles son estas, es decir, en qué invertir; así mismo, se debe anticipar que esos desembolsos tienen varios momentos “dentro de lo que se conoce el ciclo de la gestión”, es decir cuándo invertir; pero también, hay que ser realistas y reconocer que la seguridad es una materia muy nueva en la mayoría de organizaciones, y no todas ellas están dispuestas a atenderla del mismo modo o con la misma urgencia, por ello la importancia de cómo invertir ante estos escenarios.

Descargue: http://www.jacksecurity.com/publicacion.php?idpub=69

Malware in China

Monday, January 7th, 2008

Esta es una idea terrorífica, pero finalmente un riesgo potencial. Imagine que un día alguien o algo logre que cada nuevo producto manufacturado en China logre salir con un malware incorporado antes de dejar la planta. Imagine el potencial egemónico que esto daría al villano que logre penetrar las plantas de manufactura de los appliances, gadgets y todo objeto que se conecte a las PCs del mundo. ¿Es esto acaso una idea para sembrar terror?

La respuesta es no. En días pasados, los incident-handlers del ISC aseguran haber recibido reportes de equipos USB, específicamente de cuadro de fotografías conectables vía USB. Puede ver los detalles de los errores que hace de esta sospecha de malwares en estos dispositivos en la web del ISC.

Sin embargo, no sólo los usuarios son los que deben estar alerta a esta realidad. En realidad es un problema potencial para todos, organizaciones manufactureas, aduaneras, retailers y gobiernos. Este riesgo puede convertirse en una poderosa herramienta para iniciar una ciberguerra silenciosa, o aún peor, para golper con propaganda negativa al país manufacturero más importante del mundo. El riesgo daña a muchos, y aún a quien menos se piensa.

Mucho cuidado, todos debemos estar alerta. Recuerde casi todo es manufacturado en China, y casi toda la propaganda contra China es generada en occidente, todo, excepto “nuestros ojos y nuestras mentes”.

Javier Romero
JaCkSecurity, CTO
conocimiento, conciencia y consultoria