Archive for April, 2009

Another Rock Star comes to Peru

Wednesday, April 29th, 2009

En los últimos meses, el Perú ha sido testigo de un desfile increible de artístas en variados conciertos ... Mientras el promedio se pregunta, qué estrellas de rock faltaban pisar el escenario peruano, el nombre Bruce Schneier es la nueva expectativa, esta vez para deleite de la selecta comunidad de la seguridad de la información.

Así lo dice la revista en inglés The Register: Bruce Schneier “The closest the security industry has to a rock star”.

Para evitar ser neófito del enfoque especial que tiene Schneier, sígalo desde ahora antes de su próxima venida, en el II Simposio Internacional de Redes y Comunicaciones de Datos..

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | 1 Comment »

Acerca del documento ‘Fake Access Point’

Monday, April 20th, 2009

Es probable que alguna vez haya leído que quien rompe un sistema no demuestra tener habilidades comparables a las que posee quien lo asegura (en el sentido de menor mastering para el primero) (¿tema controversial? Posiblemente, sí). Como sea, al parecer esto -también- podría plantearse cuando se quiere que la seguridad sea quebrada desde el pellejo de un criminal vs. el de un pentester (en el mismo sentido de menor mastering).

Si Ud. es un buen observador del peso de la privacidad, descubrirá a qué nos referimos cuando lea nuestra nueva publicación “Fake Access Point“, acerca de cómo crear un access-point falso, para un ataque de MITM (man in the middle).

De cualquier manera, si tiene cómo defender “legítima y legalmente” las consecuencias de sus actos (por hacer o contratar un ataque de esta naturaleza), sabrá que hacerlo tiene mucho sentido. La razón fundamental es la predisposición de las personas con objetos portátiles (laptops, principalmente) de conectarse a redes inalámbricas próximas.

Sólo pregúntese:

A qué usuario no le apetece tener acceso a Internet, libre de las restricciones de seguridad que le imprime la política de seguridad de la compañía y de esos filtros de contenido, que Ud. mismo impuso.

Lo curioso es que la anterior sentencia no es sólo cierta para usuarios convencionales, también lo es para profesionales de tecnología ligados a la seguridad. Tal y cómo lo compartimos -a los participantes- al final de un taller de seguridad, nuestro team realizó un estudio (coordinado) para conocer cuántos de los que eran propensos a conectarse a cualquier access-point, tenían puertos de servicio abiertos (listening) en sus sistemas. El resultado fue 60%.

Ahora súmele a ello, lo que Jonny Lee Miller, en el papel de Dade Murphy (película Hackers), dijo:

“if we were gonna some heavy metal, I’d, uh, work my way through some low security, and try the back door”

Sin duda, robar credenciales a los sistemas heavy metal desde los más indefensos (los usuarios WiFi), puede ser deliciosamente provocador desde la perspectiva de un criminal, bajo el abrigo de la ilegalidad; pero a la vez, tremendamente retador desde la perspectiva de un pentester, a quien podría irle muy mal si se acoje sólo a las habilidades del primero.

Por ello, podemos concluir, que probar la seguridad vía la figura de un pentester puede no ser siempre lo mismo que para un criminal informático, desde las habilidades técnicas puras.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Knowledge, Privacidad, SANS-SEC503 | No Comments »

¿Qué pasa si dos amenazas se unen?

Monday, April 6th, 2009

Imagenemos dos agentes de amenaza, por un lado, un empleado deshonesto (o a punto de ser despedido), y el por el otro, el dueño de una botnet. ¿Qué pueden hacer ambos si se unen?

El primero tiene el “poder habilitador” (porque abrirá el firewall), y el segundo el “poder colonizador” (porque tomará en asalto las computadoras de la red). El primero hasta podría recibir beneficios económicos directos del dueño de la botnet, además de ganarse otros beneficios indirectos, cómo la generación forzada de problemas, qué el mismo podrá resolver en colusión con el segundo.

Un escenario imaginario, que ojalá, nunca se vuelva real. Aunque debemos reconocer, que el tal, es factible.

Al reflexionar sobre una de las salas de la exposición Yuyanapaq (Para recordar), es difícil de entender como dos agentes de amenaza con dos agendas diferentes y hasta contrarios se unieron en alianza estratégica. Ella refiere al matrimonio temporal entre el narcotráfico y sendero luminoso en el Alto Huallaga, por los años de conflicto interno que vivió el Perú.

Por ello, pensar en empleados con voluntad de unirse al enemigo común (no el narcotráfico, sino a los intrusos informáticos, o dueños de botnets) no tendría por que ser tan descabellado. Una noticia reciente indica que en España, los empleados estarían amenazando a sus empleadores con denunciarles por usar software pirata si decidían despedirles. A ello no olvide, que desde hace unos años CERT/CC viene analizando el tema de la amenaza interna.

Por supuesto, aún hay más que analizar al respecto. Eso último lo dejamos para su propia reflexión y crítica.

Sólo recuerde, que la IGNORANCIA fue la principal causa de tener hoy que recordar, hechos que aún pesan su deuda.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | No Comments »

Workshop de seguridad en ISACA – Parte 2

Friday, April 3rd, 2009

Hemos finalizado la documentación (abreviada) de cómo creamos la simulación de la red (y demás dispositivos, como el firewall) del reto realizado en el citado Workshop de seguridad en ISACA – Parte 1.

Puede descargarlo desde aquí, bajo el nombre de Behind the scenes.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | No Comments »