Archivo de la categoría: Seguridad

Análisis de la Conferencia OWASP Europe Tour – Barcelona 2013.

Análisis de la Conferencia OWASP Europe Tour – Barcelona 2013.

Ya ha pasado mucho tiempo desde la última conferencia, pero por suerte volvieron y con más fuerza, se dejó ver que para octubre tendremos otra conferencia más! 

Un viernes lleno de contenidos, desde las 10 de la mañana hasta las 18 de la tarde se habló de muchos y variados temas referentes a la seguridad.

La charla de Selva María, fue la que abrió la sesión, la cual de entrada no lo vi como muy técnico pero al pasar la charla comenzó a aportar muchísimo en aspectos del campo social y los ataques que se viven día a día en ellos. El negocio que se ha montado por la reputación online, el manejo de la información (falsa o no). En como Internet se puede convertir en tu aliado en el momento de manejar un perfil dependiendo lo que se busque. Vamos, en definitiva, que puedes hacer cosas malas, para que  nuevos clientes vean un perfil a medida.

La siguiente charla de Fabio Cerullo, estuvo muy bien, pero fue principalmente orientada al estándar de desarrollo PCI, sistemas de pago de tarjetas, donde expuso como se debe hacer el trabajo a la hora de trabajar con sistemas de pago, el “checklist” que se debe cumplimentar y los beneficios que aporta aplicar este estándar de pago, mostró alguna que otra vulnerabilidad a la hora de no guardar los datos del número de la tarjeta. Muy recomendada a la hora de tener que cumplimentar el estándar PCI.

La tercera y última charla de la mañana fue impartida por Chema Alonso, la cual fue directamente sobre seguridad, en sistemas de control de ataques, test de penetración.

Comentó sobre su adaptación de su programa La Foca, y los cambios de rubro que tendrá el mismo. La charla está llena de contenidos excelentes, mostrando como la gente y empresas dejan huella en el mundo online.

La primera charla de la tarde, impartida por Albert López Fernández, muy buena a pesar de ser justo la de después de comer y eso ya tira en contra por el sueñito que te agarra. Un tema muy interesante sobre las vulnerabilidades del Heap en Linux. En si como se utiliza la memoria y que cosas se pueden hacer para jugar con ellas, meter códigos para conseguir accesos a determinados temas. Es un mundo muy divertido, pero duro, ya que es a un nivel un poco más bajo a la hora de trabajar con la memoria directamente. Me agradó mucho la charla.

La última charla de la tarde, impartida conjuntamente por:  Marc Rivero López y Dani Creus

La cual me pidieron que no se grabe por los contenidos de los que se hablaron, era sobre la seguridad física y virtual de los sistemas de bancos con sus tarjetas de crédito. En sí mucha de esta información está disponible online, solo hay que saber buscarla.

Estuvo muy bien, la forma que cada día hay nuevos virus, troyanos, malware exclusivamente diseñados para el robo de cuentas, que poseen todo un sistema de negocio  montado donde te venden la distribución, instalación y más extras para el interesado en este negocio ilegal.
En como la policía se mueve para intentar estar a la par de esta gente.

Cierre con la mesa de debate. Fue interesante, ver como hoy en día estamos expuestos a gobiernos, espías y muchas cosas más, por culpa del sistema y diseño de Internet, la forma que acceden a nuestros datos privados, búsquedas en Internet y mil cosas más.

Pues ese es mi resumen de la jornada, para mí fue muy interesante, aportó nuevos conceptos y reforzó otros, espero que el trabajo de haberlas grabado para compartirlas ayuden a otros a entrar en estos temas.

“Aunque vengo con un poco de retraso en la edición de los vídeos de la conferencia, ya los tengo listos! Siguiente post los publico!”

Les dejo la galería de imágenes de la jornada.

Estados Unidos nos espía! No solo existe el PRISM

Aunque esto parece una noticia nueva, está claro no lo es….

Es sabido por todos que un sistema operativo como el que produce Microsoft diseñado en USA no solo tiene puertas traseras si no que hasta debe enviar estadísticas de nuestro comportamiento, pero que no cunda el pánico, de momento somos demasiados PCs como para que puedan segmentar a cada ser del planeta y meterles un puro en USA ? no…?

Todo un tema, con eso de los centros de detención clandestinos, como en los que participo España, (http://es.wikipedia.org/wiki/Centros_clandestinos_de_detenci%C3%B3n_de_la_CIA)

Si bien, de momento dice ser usado por el tema del Terrorismo y ¿Pedofilia? Hago hincapié en mi anterior post.

Si bien USA siempre fue la vanguardia en desarrollos, mientras otros países no tenían mucho más que un “sistema operativo dependiente”, para entender esto tenemos que ir al pesado! Sí señor, agradezco mis años a veces… Ya está la NSA tocando las pel… con el PGP (http://www.satorre.eu/historia_pgp.htm)

Bueno y ahora viene lo bueno en mi juventud instalando un NT4 (Jo pedazo de Kernel jijijii) recuerdo que en unos de los “services packs” actualizaba el gran amado nucleo, y el gran hermano de la NSA, el Internet Explorer, si señor y ya como eran otras épocas por la cara te decía, que por estar fuera de USA solo podrías usar certificados de seguridad de 64Bits (si algo así como las claves web de las WIFI).
O sí un https muy seguro, Nuevamente por el año creo 1999/8 la NSA metiendo sus narices en los países que no son USA.

Bueno para todas esas personas y políticos que esto les suena como el medicamento que le da el Doctor para la presión alta, ósea a nada, estamos entregando hasta a nuestra madre en bandeja… o sí a veces la ignorancia en esto nos hace feliz (Ciertamente eso lo aprendí con el tiempo).
Bueno si bien el GNU es una rama interesante como sistema operativo, no quiere decir seguro, claro si lo comparamos a su primo lejano Winpocho la pantera, claro es seguro, pero eso es como comparar (…pienso analogía…) una comode64 (W), una nintendo Wii(L) Contra una PS4 (troll aun no está en la calle), Pero justamente lo que se dice seguro, es difícil de comprender, un kernel contra caídas, desbordes de pilas, llamadas no soportadas etc… (estará en la calle?)

Pues después del Stuxnet, llegue a leer que la Siemens prometía un sistema operativo para Alemania, será que se da cuenta el daño que hace esto día a día… (No encontré el enlace =( )

Volviendo al Linuxete, este amigo si bien es más seguro, no es el más grande, existen otras versiones de OS como BSD (freeBSD) el que tiene un diablito simpático de logo, pues acá hubo todo un tema de ataques a sus repositorios y eso es todo un marron, Debian, BSD y no sé cuantos más han sufrido este tipo de ataque, pensaremos que serán niños jugando con una red de bots no..?
Pues no, atacar y logar acceso a los repositorios de código fuente o tanto como de paquetes de la hermosa posibilidad de meter unos 32KBytes de código para accesos remotos y más cosas no deseadas. Ahí es donde entra en juego la seguridad, si piensan cuantas líneas de código que solo tiene el kernel de Linux?, pues por lo que busque en el señor Google amigo de la NSA, el kernel 3.2 sobrepasa las 15 millones de líneas de código, ahora esto es solo una pequeña parte del sistema, los paquetes como Apache, Php, Mysql y otros más que pueden correr como super root?
Bien esto es como esconder una aguja en 15 millones de pajares, no sé cuantos ojos harán falta para verlo, por ende el tema de que yo me lo cocino yo me lo como, si me bajo el código fuente y me lo compilo pero no tengo ni idea que hace ni como, aunque sepa de programación C, C++ y algo de ASM te lees todo el código por ejemplo del apache ¿? Vale, vamos mas allá si me leo el código, y mi pregunta tu GCC ósea tu compilador de C y C++ es realmente el compilador limpio, no te agregara nada a la salida de tus obj ¿?
Si lo sé es demasiada paranoia pero a que mola… 😛

Con esto quiero solo contar lo que yo veo referente a la seguridad hoy en día, hay países que confían a ciegas en la tecnología como el caso de los IPADs en el gobierno Español, imagínate por un segundo activar los micrófonos de forma remota en una reunión…
También cabe recordar que todos los Hosting alojados en USA o Empresas que tengan parte de su negocio en USA se ven obligados a dar acceso a la NSA, ósea Dropbox, Amazon, (etc…) no alcanza la excusa de que tengan el servidor físicamente en Europa, Sudamérica, eso es solo un señuelo para pescar más datos que espiar.

Bueno dejo un par de enlaces para que profundicen un poco mas:

La NSA construyó puertas traseras en Windows en el 1999
http://goo.gl/avZCO

Un poco mas sobre PRISM
http://goo.gl/WkQSs

Que es PRISM:
http://goo.gl/o6BJC

PRISM extraería datos directamente desde los servidores de Facebook o Google
http://goo.gl/fXOU1

Saludos!

La Ley española intenta ser malvada con los internautas….

Si bien Internet es un mundo muy grande, donde mucho de lo que hay está diseñado para hacer daño, sea el mínimo o el más grande, desde empresas que ofrecen software con instaladores cambiados, que claramente te pone sus programas o te roba hasta las galletas más ricas de tu navegador. Desde páginas web infectadas con un pequeño “javascript” con la potencia de hacer de tu lindo ordenador un “superbot” que va desde la clase de spam a proxy para negocios o otros temas.

“Si navegar en internet es realmente peligroso”, pero nadie es consciente de ello, a veces hasta sentimos una falsa sensación de seguridad. Tengo Win7, tengo debían o hasta FreeBsd….

Pero en realidad es como circular en bicicleta por una autopista de 8 carriles de 140 de máxima. Las estadísticas lo dicen, te la van a pegar en algún momento.

Bien esto es a modo introducción, ahora que intente comentarte que Internet es media mala, no por si misma si no por la gente, y por un eslabón muy fuerte que son países que les encanta tener este poder bajo sus garras.

“Cuando la Ley quiere tener un marco legal donde es difícil demostrar la verdad absoluta, deja la puerta abierta al mal uso por parte de todos, no solo de los cuerpos de seguridad y de las presiones políticas para demostrar una verdad que tal vez no siempre sea la verdad.”

Ahora vamos a lo que nos ataña, si con la excusa de los delitos de “pornografía infantil” es lo más malo que puede haber en Internet, la pedofilia es un enemigo de la sociedad, pero también es la llave para la excusa perfecta para que otros paguen por los culpables.

Planteo un caso muy hipotético, imaginemos que el gobierno de turno tiene un problema con un político en sus filas que sabe que algo se hizo muy mal. Y que ya esta medio cansado o simplemente dejo de ser negocio para él, pues esta persona está dispuesta a apretar las tuercas a su partido, mandando el material que tiene en su ordenador…
Que pasaría si este señor no solo le borran esos contenidos de una forma segura y remota, y luego no solo eso, se los sobrescriben con otros datos y de paso le copian 50 Megas de fotos de pedofilia, le ponen el utorrent como proceso oculto y venga a compartir, cogemos el historial de otro pedófilo y se lo cargamos a esta persona.

YA TENEMOS UN PEDÓFILO MENOS EN LA SOCIEDAD!!!!!!

¿Piensan que no se puede hacer? ¿Creen que la policía no sería capaz d esto?
Si bien me gusta confiar en el estado, todos queremos vivir mejor, tranquilos, una vida justa, igualitaria….
Pero si el estado indulta a policías por penas, si el estado no tiene una ley de transparencia.
¿Cómo podemos confiar que esto no se use del modo transparente? Pues yo creo que no se puede.

Ahora solo siento que esto solo hace aun más insegura a la Red de Redes, si bien puede a ver herramientas para que esto se gestione correctamente en el siglo XXI, en España se da el caso que señores que deciden la Ley para todo un país se quedaron en el siglo XV más cosas por las cuales no puedo confiar del todo en este sistema de troyanos para gente evil.

Con esto solo busco exponer mi idea sobre el tema, no estoy en contra de que la Ley se actualice, pero estoy en contra en la forma que se hacen las cosas y sin transparencia.
Por otro lado, las personas que comenten delitos de momento van 50 pasos por delante, y también cabe recordar que los que más activos están en esto son los mismos gobiernos de otros países robando, manipulando y hasta destruyendo elementos de trabajo. Temas que pueden llevar hasta una guerra fría informática, si es que ya no la hay….

Y ahora les dejo una serie de enlaces para que cada uno saque su conclusión sobre este asunto:

El estado perdona: http://goo.gl/UizfI
USA registra todo: http://goo.gl/i8AMw
Otra fuente: Los troyanos policiales del borrador de la nueva ley http://goo.gl/7jGO7
Ya nos espían hace rato: http://goo.gl/URPQ6
Un tipo sin clave: Pena de cárcel en el Reino Unido por no revelar la contraseña de cifrado
http://goo.gl/0dnX7
Silent War http://goo.gl/cbwA1

 

Stuxnet
http://es.wikipedia.org/wiki/Stuxnet

 

Guerra informática
http://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica

 

Nueva conferencia de la OWASP Barcelona 2013 / España.

Se viene la nueva conferencia OWASP EU Tour 2013 Barcelona.

Owasp Europe Tour 2013

Owasp Europe Tour 2013

Aunque aún no están todos los ponentes confirmados que darán la conferencia, como siempre esta conferencia posee una calidad de contenidos excelentes y marca referentes en el mundo de la seguridad.

Bien, esta vez la fecha es el viernes 14 de junio del 2013.
En la Universidat Ramon Llull, La Salle (Sant Joan de La Salle, 42, E-08022 Barcelona, Spain)
Y prepararse el bocadillo, porque es de todo el día, comienza a las 10 de la mañana y el horario de cierre será 20:00.
Como siempre espero poder grabar todas las conferencias para compartirlas con el mundo.
No sé cómo administraré tantas horas de video, pero espero lograrlo!

Bien, dejo los enlaces para que puedan tener mas información!

Agenda:
https://www.owasp.org/index.php/EUTour2013_Barcelona_Agenda

Saca tu ticket para asistencia.
http://www.eventbrite.com/event/6569717201?ref=ebtn

Como siempre agradecer a Vicente Aguilera, quien hace posible estas conferencias.

Total Comander SFTP o FTP por SSH

Total Comander SFTP o FTP por SSH
Bien, este es un viejo post que tenia pendiente escribir.

La verdad que después de todos esos ataques que robaron contraseñas de programas FTP y que generaba mas de un dolor de cabeza, está esta opción:
El total commander (ex windows commander) con contraseña maestra mas la librería de SSH para la conexión de ficheros (Lo hago con la versión de 32BITs).

Un detalle negativo es la velocidad de transferencia, en si por como viajan los datos encriptados, pero sinceramente no molesta demasiado hasta la hora de subir muchos ficheros pequeños. Si tenemos acceso shell lo mejor es un tar.gz o un zip y luego descomprimirlo remoto.

Bien lo primero que necesitamos es el Total Comander ( www.ghisler.com/download.htm )
Probado con la versión 8.01 [32]

Luego las librerías que van dentro de las carpeta de instalación del Total Commander y el plugins para que todo funcione correctamente.

Dejo el Zip con la version que a mi actualmente me esta andando correctamente.
http://poisonclub.g1.re/totalcmd.zip
Lo mas importante es establecer una contraseña para las conexiones que hagamos, sin esto no seria nada seguro utilizar el sistema.

Manos a la obra:
Una vez descargado, instalado el Total Commander de 32 bits, descomprimimos el zip de librerías  en el encontraremos 3 dll, 2 exe y un zip mas, bien lo primero es copiar al directorio del total commander estos 5 ficheros y luego entramos al fichero sftpplug.zip y nos preguntara el totalcommander si deseamos instalarlo, ponemos que si, esto lo instala y al final solo le damos aceptar.

Bien con esto tenemos supuestamente funcionando el sistema de sftp o FTP sobre ssh.

TC = totalcommander (Mas corto 😛 )

Ahora vamos a entorno de red del TC (alt + F1)  en el veremos: Secure FTP

Si entramos dentro de Secure FTP, podremos crear con F7 nuevas conexiones o entrar a las existentes.

Creamos una conexión nueva esto es MUY IMPORTANTE para la seguridad del sistema que estamos montando, es utilizar la encriptacion de la clave maestra, para ello seleccionamos la casilla: Protect password with password manager (Esto solo existe a partir del tc 7.5).
En si esto nos permite guardar las diferentes claves de nuestras cuentas de SSH. También sirve para FTP pero recordar que muchos troyanos miran los paquetes de red (Recomiendo no usar FTP)

Luego de esto el sistema les pedirá el ingreso de la clave maestra sinceramente recomiendo una clave muy larga, tu direccion de tu casa mas tu teléfono fijo mas el móvil! como ejemplo claro esta.


Como podrán observar pueden ver la seguridad, si puede ser 128 bits mejor.

Pues con esto ya tienes un poco mas seguro el uso del TC para los Webmasters!
Galería: