Weblog de JaCkSecurity

Quién dijo que el tópico de “security awareness” era sólo para los empleados convencionales, Oh, no. Se equivoca, es para todos, incluyendo los administradores de sistemas y de redes, excepto que para ellos el panfleto debe cambiar, y volverse mas bien, más exhaustivo.

¿Alguien dijo exhaustivo? Oh, sí, la primera vez que escribé esa palabra en la web, fue para traducir el nombre el curso SEC503, un super curso, que por cierto, es muy oportuno para llevar a los administradores de sistemas y redes a un nivel de concientización de seguridad, más profundo que los simples dispositivos de seguridad que hoy manejan.

Alíste ahora e inscríbase al curso, que casi lo hemos hecho nuestro. Lleno de retos o challenges de seguridad, los participantes experimentarán en sus venas los bits y bytes que en pantalla en el libro hemos de revisar.

Y ojo con esto, pues esta vez somos dos especialistas de JaCkSecurity que vamos a dirigir el curso. Es un co-mentoring del SEC503 Intrusion Detection In-Depth, por algo, el primer curso de seguridad que llevé.

Es una excelente fusión: SANS Local Mentoring y JaCkSecurity’s Labs & Challenges

http://www.sans.org/info/30083

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

SANS is bringing Sec 503: SANS Intrusion Detection In-Depth to your local community! Beginning on September 6th , SANS Mentor Javier Romero will be leading this class in Lima. For complete course details, please click on http://www.sans.org/info/30083.

Why Choose the Mentor Program?
The Mentor Program, http://www.sans.org/info/30088, consists of small, local run, 10 week classes (actually, in Peru it will running on 6 weeks) utilizing the same great SANS coursework presented at the larger conferences. Mentors and students report several major advantages to the Mentor format: Cost savings, time to digest the material, convenient evening classes, and community networking.

COST SAVINGS: Is the slowing economy resulting in reduced training budgets? With the SANS Mentor program, you save 25% off the regular SANS tuition fee with the ability to save even more with group discounts (see below). No need to spend money on travel and living expenses or spend a week away from the family.

PACED STUDY: Take 6 weeks not 6 days to work through and understand the material. Past students report that the slower pace allows them to absorb and apply the information. Each session provides you the opportunity to apply the materials the next day when you return to the office!

EVENING CLASSES: The Mentor program provides a method for learning the SANS materials and working towards a GIAC certification without taking time off from work.

COMMUNITY NETWORKING: The Mentor program allows you to work with local security professionals in an open discussion format. This community networking has been identified by students as a major benefit of the Mentor program.

One recent Mentor student commented, “I thought that the class was great. I would consider taking another SANS Mentor Program class. It was much more convenient than traveling and I had the ability to review material at my own pace.”

A SANS Institute course delivered locally in Lima by an experienced SANS Mentor who will lead you over a comfortable and convenient schedule, saving you money, while giving you the opportunity to network with local security professionals. What a great combination!! Plus SANS promises you will be able to use what you learn in the classroom as soon as you return to the office.

TUITION DISCOUNTS!
SANS offers group registration discounts for 2 or more students who register from the same organization. To obtain the Group Discount fee and Registration Code offered for this course, contact Miranda Ruddick at mentor[@]sans.org PRIOR to registering, and provide the names and
e-mail addresses of all the students registering within your organization.

Does this sound like the kind of training that would help you be more effective in your job? Then register today at http://www.sans.org/info/30083 and see for yourself the excellent value
of SANS training and GIAC certification!

SPECIAL MENTOR OFFER! Write “recruited by mentor” on the web form (under the text box “COMMENTS”) and the mentor will give you two additional hours of a special security workshop.

Dependiendo en qué tipo de entidad gubernamental o empresa de servicios te halles, es más que visto que necesitas un argumento fuerte para convencer a tus jefes para que te aprueben el presupuesto para ese curso avanzado de seguridad que tanto andabas buscando.

Si no has perdido las esperanzas, y todavía estás envuelto en el nivel técnico, y te respetan por ello, cuenta cuánto tiempo te tomas en entender esta técnica de amenaza, y compara si ese es el tiempo que deberías tomarte para responder a un incidente similar.

http://isc.sans.org/diary.html?storyid=4645

Próximamente: SEC503, Intrusion Detection In-Depth

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Javier Romero, CTO de JaCkSecurity, estará dictando el curso SEC 503. Acá un video de Mike Poor, actual instructor de SANS para este curso:

Un colega de la scene, Alberto, nos reportó su breve análisis de un reciente pharming que explota la confianza y fama que tienen los chismes del programa televisivo peruano Magaly TV. Aquí su hallazgo:

-Información entregada-

Lo subi a virustotal y ningun antivirus detecta nada anormal.
Pero ese archivo Video_Magaly.exe hace lo sgte

Agrega en el archivo hosts

C:\WINDOWS\system32\drivers\etc\hosts

69.64.39.58 scotiabank.com.pe
69.64.39.58 www.scotiabank.com.pe
69.64.38.211 bbvabancocontinental.com
69.64.38.211 www.bbvabancocontinental.com
69.64.38.211 www.bbvabancocontinental.com.pe
69.64.38.211 bbvabancocontinental.com.pe
69.64.38.254 viabcp.com:
69.64.38.254 www.viabcp.com
69.64.38.254 www.viabcp.com.pe
69.64.38.254 viabcp.com.pe
Y luego abre el sgte url :
www.elgonzi.com/2008/03/video-pelea-de-leysi-suarez-y-la-esposa.html

-FIN de información entregada-

El ejecutable tiene la ícono de un acceso directo a un VMW (Windows Media File), pero como señala Alberto modifica el archivo hosts.

Sin duda una forma de ataque más trabajada de los cibercriminales detrás de la banca peruana, ya que no deja a la víctima con la sin sazón de no ejecutar nada, sino que lo lleva a una web donde puede ver el video provocativo.

Agradecemos la información alcanzada por Alberto.

Importante: Eduque a sus usuarios, los antivirus no pueden ayudarlo (Ranking 0/32 al escribir este post).

JaCkSecurity
Conocimiento, Conciencia y Consultoría
Reporte técnico exhaustivo

En fechas pasadas, varios usuarios y visitantes del portal nos han hecho saber su interés por participar del examen CISSP. Esta vez, para quienes realmente están en pos de la certificación CISSP, y piensan inscribirse al próximo examen del 31 de mayo 2008 (actualmente auspiciado por JaCkSecurity en convenio con (ISC)2), se les invita a escribirnos a info(@)jacksecurity.com a la brevedad. Tenemos una propuesta de su interés.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

El 7 de junio del 2008, iniciará el primer curso SEC 504 en Perú. SEC 504 es el segundo curso más popular de las conferencias SANS, y ha sido escrito por el autor de Fighting Malicious Code y Counterhack, Ed Skoudis. Hacker Techniques, Exploits and Incident Handling, será dictado en Lima en modalidad local-mentor, por nuestro CTO.

La modalidad local mentor viene siendo la más recomendada para la economía y disposición de tiempo de ejecutivos y profesionales locales (Perú). Aquí un video donde Ed Skoudis narra el contenido de este curso.

Aunque el curso es presencial, los interesados de otras regiones latinas que no disponen de uno similar en su localidad pueden hallar en la web de SANS otras modalidades, o si lo prefieren derivarnos su inquietud a info[@]jacksecurity.com.

Hoy miércoles 23 de enero, JaCkSecurity.com S.A.C. lanza al mercado latino el circuito de cursos y certificaciones que auspiciará y promoverá durante el 2008.

Siempre con el fin de elevar la experticia de los profesionales, JaCkSecurity es un compañía de consultoría pragmática en seguridad de la información que por cuarto año consecutivo viene auspiciando y promoviendo cursos de prestigio y calidad internacional.

¿Novedades? JaCkSecurity trae dos novedades para éste año; en primer lugar, está el Seminario Oficial de Revisión del CBK CISSP con dos fechas (marzo y agosto) diferentes y con su respectiva pos fecha para los exámenes CISSP (también acogidos por JaCkSecurity); y en segundo lugar, el lanzamiento de la primera mentoría de SEC 504 (Hacking Techniques, Exploits and Incident Handling), el segundo curso más favorito en las conferencias SANS.

¡Eso no es todo!. El SEC 504 tendrá un CTF (capture the flag), es decir, un reto de hacking embebido.

Pero, aún hay más. Javier Romero, CTO de JaCkSecurity, nos informa que los cursos SANS tendrán un beneficio extra, para aquel que siga las instrucciones del brochure.

Si está interesado en los seminarios CISSP, y ya que se haya primero en el horizonte del calendario de cursos, conviene mencionar que JaCkSecurity está ofertando la posibilidad de doble ingreso. Si se inscribe a la primera fecha de los seminarios CISSP, el participante podrá ingresar totalmente gratis al segundo.

Programe su calendario, o descargue el brochure de Cursos 2008, y péguelo en el mural de su oficina, para que usted y otros colegas estén alertas. Recuerde que para los cursos SANS hay un descuento especial por grupo.

Finalmente, el contenido, los enlaces web, las formas y medios de pago están aclarados al detalle en el documento Brochure-Cursos2008-v1.pdf, descargable sin subscripción al portal desde aquí.

Escuche, pregunte, conteste y deguste, al participar del evento “Cursos y Encuesta 2008” que organiza JaCkSecurity éste miércoles 09 de enero (10:00 am) en la ciudad de Lima (Hotel San Isidro Inn). Como parte del contenido del evento, se detallaran los beneficios y consejos para conseguir presupuesto para cursos y certificaciones internacionales, como las de (ISC)2 y SANS Institute, que alojará JaCkSecurity en el 2008. Al cierre, se realizará la 1era. encuesta del Nivel de Maduración de la Seguridad de la Información en la Organizaciones.

La citada encuesta ha sido desarrollada por el Staff de JaCkSecurity a partir de dos importantes papers de una asociación internacional, de la cual se tiene permiso especial. El proyecto cuenta, además, con el aporte de asociados de JaCkSecurity y editores del JaCkNews.

Con un total de 4 dominios, y 3 a 4 preguntas por dominio, el participante empleará al menos 15 min., los cuales serán retruibuidos luego de procesar la encuesta. Esto significa que el participante podrá obtener una copia de los resultados de su encuesta, y así, conocer mejor el estado de maduración de la seguridad en su organización.

Para ello, como elemento de anonimato, el participante que desee una copia de sus resultados deberá proporcionar al final de la encuesta un correo electrónico que no haga referencia directa a su persona u organización, a donde se le remitirá el resultado.

El evento es exclusivo para usuarios del portal JaCkSecurity.com.

Javier Romero, CTO, señala:

“Esta es una de esas pocas veces donde el conocimiento del estado de la seguridad lo generaremos juntos. Juntos como lo chicos malos, sólo que a diferencia de ellos, no para compartir técnicas malévolas, sino materia prima de defensa y mejora de seguridad”.

Asista al evento, es gratuito; y recuerde, es sólo para usuarios del portal JaCkSecurity.com.

Blanca Grados
JaCkSecurity

Importante: Nuestras encuestas son top en su clase, “Los 10 Grandes Errores de la Seguridad TI en el Perú” es un ejemplo de ello.

Este próximo 09 de enero, estaremos presentando los seminarios “oficiales” CISSP, y al lanzamiento del ciclo de cursos de SANS en Lima - Perú, para el 2008. En la charla:

• Conozca por qué su compañía debe invertir en un CISSP “in-house”
• Descubra cuáles son las opciones de “entrenamiento” de uso inmediato
• Participe de nuestra nueva encuesta de seguridad

Con motivo del advenimiento del mes más importante de la seguridad
informática, JaCkSecurity está organizando una importante ronda de charlas
sabatinas:

Sábado, 03 noviembre, 10 AM - 12 PM
1) ¿Cuál es el verdadero modelo de amenaza de seguridad?
Expositor: Javier Romero
La ignorancia del modelo real de amenaza ha sido explotada tremendamente por la industria de la seguridad para vendernos decenas de tecnologías efímeras, que a la corta no han servido para protegernos eficientemente de casi ninguno de los verdaderos problemas de seguridad que sufre la infraestructura de la tecnología de la información actual.

Sábado, 10 noviembre, 10 AM - 12 PM

2) ¿En qué, cuándo y cómo se invierte en seguridad?
Expositor: Javier Romero
No toda la industria de servicios y tecnología de la seguridad es mala, hay que saber cuáles son las soluciones “backbone”, cuándo requerirlas, y cómo hacer que su despliegue sea beneficioso para la compañía.

3) Wardriving Perú: Riesgos ocultos
Expositor: Jimmy Villanueva, DCWE
Casi nadie desconoce hoy en día lo que la gente común hace con las puntos de acceso inalámbricos desprotegidos. Sin embargo, muy pocas personas se han preguntado qué es lo que una mente malévola puede hacer con esas puertas que dicen: ¡hackéame!. Desde una perspectiva “pentesting”, Jimmy le mostrará algunos de esos riesgos ocultos.

Sábado, 17 noviembre, 10 AM - 12 PM

4) Análisis de eventos notables de la seguridad en el 2007
Panelistas:
Aldo Romero CISSP, Martin Valdivia CISA CNA y Wiston Lewis SSP-GHD SSP-CNSA
Los editores del JaCkNews discutirán con el público cuáles fueron aquellos eventos más transcendentales que impactaron el mundo de la seguridad en el 2007 en el país y en el mundo. Esta será una rápida forma de ponerse al corriente de las noticias relevantes y lo que piensan nuestros dignos editores del JaCkNews.

Lugar:
Hotel San Isidro Inn
Av. Juan Pezet 1765, San Isidro, Lima 27, Perú
http://www.sanisidroinn.com.pe/

Costo:
Sin costo, sólo para usuarios del portal
Si no es usuario, hágase uno, vía:
http://www.jacksecurity.com/registro.php

Inscripción:
Una vez que es usuario del portal, remitir un mensaje con el ASUNTO: “Confirmo mi participación”

Cupo:
Limitado.

========================================================
== Siéntase libre de copiar éste mail a otros colegas ==
========================================================

Como es de su conocimiento el pasado mes de noviembre se celebró el día internacional de la seguridad Informática, con tal motivo decidimos lanzar un concurso, del cual obtuvimos un ganador destacado.

Germán, nuestro ganador de Mi Historia de Seguridad, nos explicó cómo mejoró la seguridad de la infraestructura de su institución, luego de fusionar algunas lecciones de captura de tráfico impartidas por JaCkSecurity.com, y la destacada habilidad de su team desarrollando herramientas propias para la gestión.

Su historia demuestra claramente cómo las personas hacemos la diferencia para manejar los problemas tecnológicos de seguridad, especialmente empleando los recursos existentes. Una verdad a la que por cierto han llegado muchos líderes de seguridad en el mundo. Pero por supuesto, este reto supone constante capacitación y desarrollo de las habilidades de los profesionales de seguridad. Un reto que JaCkSecurity.com ha asumido en su misión corporativa.

Por esa razón, reconocemos la iniciativa de seguridad de nuestro ganador otorgándole una media beca para cualquiera de los “nuevos cursos” que JaCkSecurity.com lanzará en el 2007.

Sin más preámbulo, su historia:

Título: ¿ De quién es ésta PC?
Ganador: Germán Medina Neria

Antes de la mejora
La red de la institución huésped de mi historia empleaba entre sus prácticas de conectividad, la asignación de direcciones IP estáticas, para que los usuarios obtuvieran conexión a la red interna y a la Internet. Aunque este escenario puede someterse a una política de asignación de direccionamiento IP dinámico, se sumó al escenario plantado un interesante problema.

Indistintamente usuarios finales y sin conocimiento del administrador de la oficina informática empezaron a secuestrar direcciones IP que eran reconocidos por firewall como aquellas válidas para acceder a Internet. Incluso se inició el éxodo donde los usuarios finales empezaron a adquirir sus equipos portátiles y a conectarse a la red de datos para acceder a servicios de Internet, saltando los trámites regulares para dichos casos tan exclusivos.

Adicionalmente, la institución no contaba con un software de monitoreo capaz de rastrear las incidencias de conexión de cada uno de los usuarios finales, algún muy útil para detectar estas violaciones a la política.

Solución, detección y sanción

El 24 de mayo del 2006 asistí a la charla técnica “Análisis de Incidentes con Windump” que brindó la empresa JaCkSecurity.com en TECSUP, con motivo de su I Simposio Internacional de Redes y Comunicaciones de Datos. Allí comprendí cómo enfocar mi propuesta de solución: “ver las direcciones MAC (Machine Address Code) y escuchar lo que éstas querían hacer”, esto es como pegarle el oído en la red de datos. Es así que desarrollé un software que atendiera los siguientes objetivos:

(1) Capturar de direcciones MAC, dirección IP, nombre de PC, fecha/hora, y puertos destinos del intento de conexión.

(2) Capturar las 24 horas del día, los 365 días del año, manteniendo y actualizando una tabla principal.

(3) Permitir la carga manual de datos a través de un formulario electrónico, con la información de las PCs y con datos extras como: número de roseta, número de oficina, número de piso, número de anexo, si estaba inventario o no, entre otros.

(4) Crear tickets de incidentes por violación, notificando por correo electrónico cuando el contraste entre dirección IP y dirección MAC no coincidiera con la tabla principal autorizada.

Resultado final

Hoy tenemos capacidad de detectar a los usuarios finales que secuestran direcciones IP, a quienes posteriormente se le amonestada administrativamente.

Los usuarios finales con equipos portátiles y nuevos solicitan, vía conducto regular, la inscripción de su equipo en el sistema desarrollado (tomándose la dirección MAC y otras características del equipo, mientras se le asigna una dirección IP que está asociado a ciertos servicios de Internet).
La introducción del programa adicionó un nuevo procedimiento de seguridad: Cada vez que una PC se movía de un área hacia otra en la institución, debía ser actualizado a través del programa para que no genere notificación por violación. Igualmente sucede en los casos: si es que la PC es actualizada de nombre ó se cambia la tarjeta de red.

Adicionalmente, el programa facilita acceder a un registro histórico de:

• la hora punta de las conexiones concurrentes,
• cuánto tiempo está conectado cada equipo de cómputo en la red de datos,
• si efectuaron cambios en la configuración de la conexión de red,
• y sobre todo cuándo se detectó una usurpación de direccionamiento IP.

Por supuesto, una vez que identificaba alguna nueva PC, hicieron falta procedimientos extras para garantizar que cada uno de dichos equipos contaran con la protección mínima necesaria: Antivirus, y otras políticas de acceso.

Comentarios de JaCkSecurity.com

Paralelo al hecho si existen similares propuestas en el mundo comerciales para solucionar este tipo de problemas, destacamos principalmente la pro-actividad de los profesionales con sentido de responsabilidad en la seguridad como Germán y su team, a fin de crear procedimientos y desarrollos propios para afrontar las diferentes aristas que la seguridad informática demanda como problema.

Para debates de mejoras y/o usos del software citado en la historia, sírvase contactarse con Germán Medina Neria, actualmente Networking Team Leader del Instituto de Enfermedades Neoplásicas, al 710-6900 anexo 1033.

En diciembre (1 y 2), JaCkSecurity.com estará realizando el taller CSIRT Security Workshop. Para resolver algunas de sus consultas lea con detenimiento lo siguiente:

¿Qué es un CSIRT?

CSIRT (siglas) viene de las siglas en inglés Computer Security Incident Response Team. 

Un CSIRT es un equipo de expertos en seguridad TI cuya principal misión es responder a incidentes informáticos. Así, un CSIRT proveerá de los servicios necesarios para manejar y atender a sus usuarios a fin de recupar sus sistemas de alguna brecha.

A fin de mitigar los riesgos y minimizar el número de respuestas requeridas, la mayoría de CSIRT también proveen de servicios preventivos y educacionales para su usuarios. Algunos CSIRT publican avisos de vulnerabilidades en el hardware y software en uso, también informan a sus usuarios acerca de la explotación de virus y exploits que abusen de estas fallas. De tal forma que los usuarios sepan qué hacer rápidamente.

Beneficios de tener un CSIRT en tu empresa

• Tener una coordinación centralizada para los problemas de seguridad TI dentro de tu organización. 
• Manejo especializado y centralizado de respuesta a incidentes TI.
• Tener la experticia en la mano para soportar y asistir a los usuarios a recuperarse rápidamente de un incidente de seguridad.
• Lidear con los problemas legales y preservar la evidencia en el caso de una demanda.
• Estimular la cooperación dentro de los usuarios del servicio de seguridad TI. 

¿Por qué un CSIRT para mi empresa?

• Hoy en día las regulaciones de seguridad parecen estar sobresaturando las cabezas de los gerentes de TI en el mundo. Por ello, es necesario resumir la seguridad en componentes básicos y sencillos para gestionarla de manera que crezca y madure progresivamente, desde adentro. Un CSIRT permite eso.
• La única forma de convencer a la alta gerencia de la problemática en seguridad, es teniendo problemas de seguridad. Un CSIRT permite eso.
• Cuando piensas en tener personal de seguridad, normalmente piensas en personal de confianza, y qué mejor del que ya tienes y conoces en años. Sólo hace falta que le traces el camino. Un CSIRT permite eso.
• La seguridad no es un dispositivo informático invulnerable, ni un abusivo esquema de políticas sancionadoras y voraces, seguridad es útil, mientras ayude al negocio. Esto exige que sea flexible, a la vez de efectiva. Pero no se puede lograr de la noche a la mañana, hace falta que consideres a la seguridad como un proceso. Un CSIRT permite eso.

Perfil del participante

El curso se enfoca a dos audiencias en simultáneo:

• Jefes o gerentes TI
• Especialistas de TI

Por ende la exigencia no es parcializada, cualquier especialista de TI puede participar. No obstante, es más conveniente si conoces de detección de intrusos y algunas vez has leido tus logs. Si puedes, ve dándole revisión a esto a fin de ir más aprehensivo al taller.

Acerca del instructor

El instructor ha participado como creador y fundador del primer CSIRT creado en Perú para AT&T Latin América, conocido en sus días como APSIRT. APSIRT fue creado el 15 de noviembre del 2,000 luego de que acontecimientos de gran magnitud golperan a una basta cantidad de sistemas Windows con el QAZ entre agosto y octubre de ese año. Bajo la gestión del instructor y el team, APSIRT alcanzó niveles oficiales como CSIRT al ingresar a la comunidad FIRST el 15 de noviembre del 2,001; en donde participa hoy como el team TESIRT. Nuestro instructor además, escribió un paper (en el 2,005) acerca de cómo crear un CSIRT nacional, para The SANS Institute. Finalmente, su participación como instructor del taller cuenta con la aprobación de TERENA, quienes son los creadores del material oficial. La versión en español de éste material es gracias a la comunidad CSIRTs en Latino América.

Ahora puede inscribirse.

En caso tuviese más consultas, sírvase escribirnos a nuestro portal.

En julio JaCkSecurity.com, presentó los cursos que presentaría para la segunda mitad del 2006. Durante el evento se contó con la presencia de más de 50 profesionales de TI, consultores, jefes, gerentes y hasta un CISO.

Agradecemos a todos los participantes, quienes nos ayudaron a computar con mayor precisión los Errores de la Gestión de la Seguridad de la Información en las Empresas Peruanas.

Esperamos tenerlos nuevamente en la charla “Information Security Management” que estaremos ofreciendo en INFOMINA 2006.

Durante las semanas del 26 de agosto al 23 de setiembre (2006), JaCkSecurity.com ha estado llevando a cabo el curso Mastering CISSP®.

A continuación algunos sucesos durante nuestro primer curso (actualmente en su 3ra. versión):

Setiembre: A la izquierda con libro en mano, se observa al participante ganador del sorteo del libro “Beyond Fear: Thinking Sensibly About Security in an Uncertain World (de Bruce Schneier)”, sin duda un super libro que amerita leamos.

Sábado 26 Agosto: Instructor durante el dominio Criptografía.

Sábado 16 Setiembre: Instructor complementando el dominio “Metodologías y Sistemas de Control de Acceso” con Biometría.

Sábado 16 Setiembre: Restaurante “El Olivar”, lugar donde los participantes disfrutaron de los deliciosos almuerzos sin inversión extra.

Sábado 9 Setiembre: Instructor desarrollando la ciencia tras la noticia del incendio en la Pampilla (caso práctico del dominio “Seguridad Física”).

Setiembre: Participantes intercambiando experiencias.

Si desea conocer de éste y otros curso suscríbase a nuestro portal.