Weblog de JaCkSecurity

Violencia (RAE) = Acción violenta o contra el natural modo de proceder.

28 Enero

Es una bonita idea, pero poco práctica
Frase célebre de, Pepito Grillo en Pinocho

Se puede aplicar para metodologías cada vez más bellas.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Dear Future SANS Alumni

Experience SANS training right here in Lima with a training course from
the SANS Mentor Program – the most affordable live, in person training
we have to offer.

Starting June 2nd, The SANS Mentor Program will be bringing Security
401: SANS Security Essentials to Lima Peru. No need to travel, no need
to be out of the office for a week. With local classes in a multi week
format, you can experience world class SANS training at home!

Meeting each week, local SANS Mentor Javier Romero will teach you the
language and underlying theory of computer security. At the same time
you will learn the essential, up-to-the-minute knowledge and skills
required for effective performance if you are given the responsibility
for securing systems and/or organizations. You’ll be able to show off
your knowledge the next day at the office!

******
For complete event details visit http://www.sans.org/info/101054

SECURITY 401: SANS Security Essentials
Start Date: Saturday June 2, 2012. Class meets every Saturday over 4 weeks.
Details and tuition visit: http://www.sans.org/info/101054

******
What is the SANS Mentor Program: Mentor is SANS’ program for learning
our courseware in multi-week classroom sessions right in your home town.
Mentor gives you time to absorb and master the same material taught at
SANS six-day conferences, with the guidance of a trained and GIAC
certified network security professional.

SANS Mentors are hand-selected from students like yourself who hold GIAC
Certifications with an 85% or better. Mentors are evaluated and trained
by the SANS Mentor team which consists of industry professionals and
SANS Certified Instructors such as John Strand and Eric Cole. Mentors
are locally based, which allows for these instructors to serve as IT
leaders in the community. Each week the local Mentor will answer
students’ questions and assist them with hands on labs and exercises
during the class. Mentor courses give you the opportunity to participate
in SANS training without the expense and inconvenience of travel or
being out of the office during the workday.

I hope you can join this class in Lima this June and earn your GSEC
Certification in 2012!

Kindest regards,

Stephen Northcutt – President
The SANS Institute

En comunicado exclusivo a clientes, la semana pasada alertamos de la vuln. MS12-020 (que permite ejecución de código remoto) CVSS 9.3 (HIGH).

Luego de eso, hallamos que no todos los servicios RDP son internos, sino
-en algunos casos- fuera del alcance del firewall, por lo tanto, compartimos algunas porciones de nuestra misiva no pública, al público lector de este blog:

1. Sugerimos volver a revisar su perímetro, o sus otras redes de acceso
a Internet. Existen variados ejemplos de sistemas con RDP fuera del ámbito del firewall.
Ejemplos removidos

2. Si ha tenido o tiene sistemas públicos con RDP (Remote Desktop
Protocol), no se fíe de instalar parche de MS12-020. Es probable que su
sistema ya haya sido visitado por ataques de diccionario o fuerza bruta, antes que se conociera el MS12-020, incluso antes que su researcher lo divulgara a Microsoft. Realice una inspección minuciosa.
Detalles removidos

3. Aquí la moraleja: No por el hecho de no tener el puerto 3389, todo es
bueno. En general, un intruso puede aprovechar de múltiples formas el
tomar un sistema no protegido por firewall.
Detalles removidos

4. Finalmente, adjuntamos el update del 3389 de DSHIELD, donde la
desviación observada en Chile, también se notó en Argentina el día
sábado.
Detalles removidos

Otras estadísticas públicas (Fuente: ISC.sans.org)

JaCkSecurity
Conocimiento, Conciencia y Consultoría

http://www.jacksecurity.com

El privilegio de conocer a un gran arquitecto de la carrera de la seguridad

Tuve la oportunidad de conocer a este célebre personaje, no como mentor, sino como compañero de aula. Seguro, claro, mientras observaba que tan bien Kevin Henry nos instruía en el 3T del CISSP en el 2007, dentro del Mall of the Americas.

Durante algunos días, Harold no pasó desapercibido y pudo compartir de tiempo en tiempo los motivos detrás de la inclusión de algunos temas en el Common Body Knowledge (CBK), a la vez que se podía comprender el encaje de las piezas generales detrás de su organización.

A más de ello, también tuve el privilegio que Harold me juzgara como instructor, así que no dejo más que sentir su partida.

Con su trabajo, Harold F. Tipton ha modelado la vida de los profesionales de seguridad desde 1989, y quizás sea uno de los pioneros en aglutinarnos de la manera más ética y unificada posible, para que demos vida a un sin número de existentes líneas y especialidades en la seguridad de la información de las que gozamos hoy.

“Es nuestro deseo que Ud. recuerde a este diseñador de la profesión”

Despedida a Harold F. Tipton, ilustre personaje que trazó el camino de miles.

Javier Romero, CTO
Certified Information Systems Security Professional, CISSP 39589

JaCkSecurity
Conocimiento, Conciencia y Consultoría

“Seguridad para Smartphones”

Consejo #9: ACTÚE VIGILANTE
Sonría! Ud. está siendo -potencialmente- filmado, por no decir ¿hackeado?.
Mantenga una actitud conciente acerca de los riesgos que implica la telefonía móvil actual y del manejo de información a través de este medio.
Sería mucho mejor, si a pesar del potencial del smartphone, Ud. procura limitar el tipo de información que este produce, aloja o transmite, especialmente si es información que Ud. o su organización considera sensible.

Explicación:
Por ejemplo, no apunte y/o cargue enlaces ocultos (con QR Code) en paredes y boulevares, o general en lugares o fuentes de poca confianza. Si cargó este enlace desde un QR Code nuestro, sepa que siempre alguien podría esperarlo con fines malévolos, en el supuesto que aproveche alguna vulnerabilidad o debilidad en su smartphone.
Otro ejemplo, es el falso sentido de seguridad que nos puede dar las contraseñas, como la citada en la primera recomendación. Muchos de las app que manejan el bloqueo con contraseña o seña, son burladas hoy en día.

Actualización:
En la finanzas existen variadas app disponibles. Si Uds. pica una publicidad impresa con el logo de su banco, y esta vía QR Code dice llevarle a la app, tenga cuidado “quien sabe podría ser falsa” y llevarlo un lugar o app malévolo.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #7: DESTRUYA LA DATA
¿Alguna vez escuchaste de alguien que donó un libro viejo, sin notar que alguien en la familia había guardado uno de esos billetes de a 100? De igual forma, al dar de baja a su smartphone elimine toda la información que pudiera ser considerada sensible. Usted no puede determinar en qué manos podría terminar su equipo, luego de que su empleador o Ud. mismo lo dona o simplemente le da de abaja.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #7: RESPALDE FUERA
Recuerde, muchas de las mejores bóvedas del XXI “son gratuitas”.
Realice copias de seguridad de su información de manera periódica. El software para realizarlo es ofrecido de manera gratuita desde el portal del fabricante. Recuerde guardar su copia de seguridad en un lugar al cual sólo usted podrá tener acceso.

Explicación:
Siempre existe la posibilidad de perder el dispositivo. Y -por suerte- las estadísticas de pérdida de datos, se dan por ese motivo: extravío de portátiles y demás móviles, y no por espionaje industrial. Con algo de esa estadística a su favor, lo único que podría perder son datos, lo que significa un riesgo directo -al menos- a la DISPONIBILIDAD de sus datos.
Pero, claro no pierda de vista el detalle que mucha de la vida privada de terceros podría estar alojadas en su smartphone, así, que mejor, no pierda de vista su smartphone, será por el bien de los suyos, de cuyos datos -quizás- le sean más importante para otros, que sus propios datos.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #: EVITE PERROGATIVAS
Evalúe siempre las prerrogativas (permisos elevados que asigna) solicitadas por las próximas aplicaciones que piensa instalar en su smartphone, y considere sobre todo si este software va a interactuar con otras aplicaciones residentes.

Explicación:
Por ejemplo: De instalar un aplicativo de entretenimiento ¿Este va a interactuar con redes sociales? La pregunta que cabe hacerse, ¿está su smartphone haciendo lo mismo? Verifíquelo.

Actualización (12/01/25):
Recientemente, usuarios de la red O2 en el Reino Unido, descubrieron que su número móvil estaba siendo revelado en cada respuesta HTTP, durante las visitas a cualquier sitio web en el globo. En l

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #5: VERIFICA FÁBRICA
Evita instalar software de repositorios de dudosa procedencia, es como consumir brebajes de chamanes. Muchas veces, estos son fuentes de software malicioso. Use los repositorios de software del fabricante, y mejor si él o su área de seguridad informática de su corporación lo recomienda.

También, verifique que el fabricante del sistema operativo realiza un chequeo de las aplicaciones que son desarrolladas y compartidas por los usuarios. A la fecha, se ha retirado un importante número de aplicaciones, debido a que fueron creadas con fines delictivos.

Explicación:
No se trata del viejo y tan poco respetado adagio de instalar software licenciado. En realidad, como usuario ejecutivo Ud. debe tener claro que un smartphone tiene todo el potencial de una computadora doméstica, y hasta incluso posee la innata virtud de dejarse trasladar con facilidad. Un buen día podría instalar un sotware que además de beneficiarle en alguna labor, termine siendo un grabador remoto creado por algún espía. Imagine, una sesión extremadamente secreta del directorio de su compañía revelada gracias a las bondades de su smartphone, por la gracia del software que Ud. mismo instaló, y jamás notó.

Pensar en que la industria del software de smartphones esté controlada, es casi imposible. Pero, algunos fabricantes “procuran” hacerlo. Si un antivirus pudiera ayudar, poco podría lograr por lo inmaduro de dicha mezcla tecnológica. Así, que deje esta tarea al área de tecnología de su compañía, quienes se harán cargo de homologar corporativamente qué fabricante atienden esta recomendación de seguridad. Si ellos no hicieron esta tarea, poco es lo que Ud. como usuario final puede hacer.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #4: PARCHE SOFTWARE
Consulte y mantenga el sistema operativo de su dispositivo móvil actualizado, así como de sus aplicaciones. El software malicioso explota sistemas no actualizados o con opciones activadas por defecto.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #3: Use peajes
De la misma forma que es mejor viajar por la autopista con peaje del FLORIDA TURNPIKE, es mejor usar redes Wi-Fi a pago, si perdió su señal GSM. Evite emplear redes Wi-Fi de dudosa reputación desde su Smartphone. Otros smartphones cerca suyo podrían estar funcionando como hotspots, sólo para interceptar a víctimas como Ud.

Explicación:
Los ejecutivos que viajan sin contar con roaming internacional, sufren del beneficio de conectividad permanente. Igualmente, cuando la señal GSM se ha perdido, muchos optan por activar la capacidad Wi-Fi de su smartphone para conectarse a alguna red inalámbrica próxima, ej. en un hotel o paraje remoto fuera de la cobertura GSM de su proveedor. Hacerlo, sin tomar medidas de seguridad adicional, es un riesgo. En los aeropuertos, lo descrito sucede con frecuencia. Por lo tanto, estos lugares son los preferidos para interceptar las comunicaciones Wi-Fi de smartphones como el suyo. Sería mucho mejor si su compañía lo abastece de roaming GSM y/o Ud. procura no usar las redes Wi-Fi, tanto las abiertas, como incluso las pagadas en los aeropuertos (por ser lugares ideales para el espionaje industrial internacional). Alguna forma más avanzada sería asegurar el canal sobre el que transitará sus datos, mediante un túnel VPN, si su equipo lo permite.

Esta recomendación debe tomarla muy en serio. Hemos descubierto casos donde los servicios de correo corporativo (vía web) viajan sin ningún cifrado especial. Así, si se conecta a una red Wi-Fi, mientras su buzón de correo web se actualiza, ya sabé lo que puede pasarle a su correo, si alguien llega a engañarlo con un hostspot malicioso.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #2: CIERRE LAS PUERTAS
Desactive los canales de comunicación sin uso, como Bluetooth, Wi-Fi, infrarojo. Ud puede abrir inadvertidamente puertas de acceso a intrusos, por más seguras que luzcan.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.