jueves, 24 de septiembre de 2009

Metasploit

Categoría: Noticias

Hola,

Hoy quiero comentaros un framework denominado Metasploit que permite programar y llevar a la práctica exploits. Lo probé hace bastante algo de pasada de lo que recuerdo que tenía un interfaz web y que disponía también de uno en modo consola. El uso no resultaba demasiado complejo pero ahora lo va a ser aún menos. En Offensive Security han liberado un manual completo en formato HTML, el PDF es de pago pero todo lo que se recaude será donado a HFC (Hackers For Charity).

El manual está disponible a partir del siguiente enlace y es muy completo:

http://www.offensive-security.com/metasploit-unleashed/

Fuente: Cryptex

viernes, 11 de septiembre de 2009

Seguridad: ¿Por donde empezar? (II)

Categoría: Seguridad de la Información
Seguridad Informática

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

Una vez que hemos visto algunas de las posibilidades de formación a nivel personal y de normas certificables que pueden verse ligadas de uno u otro modo en nuestro futuro profesional, bien como consultor, bien como implantador en nuestra propia empresa o bien como auditor, vamos a pasar al ámbito de la Seguridad Informática.

Dentro de la Seguridad Informática hay varias certificaciones con prestigio dependiendo de a qué nos queramos dedicar. Si hablamos de hacking ético, la certificación por excelencia es CEH (Certified Ethical Hacker). Esta es la que encontrareis en todos los requerimientos de los currículum, sin embargo, no es la que más conocimientos os proporcionará según comentarios en la lista de pen-test de security-focus. Allí comentan que si realmente deseas aprender tu certificación es OSCP. Esta certificación se obtienen una vez se ha hecho una intrusión real sobre un sistema y los cursos los imparten los creadores de la distribución linux dedicada a Ethical Hacking, Backtrack. Es un curso bastante asequible si nos paramos a mirar los precios en los que se mueven este tipo de acciones formativas y además, según las muestras que te dejan ver los videotutoriales parecen bastante buenos, eso si, hay que saber inglés. Desde un punto de vista de desempeño profesional, OPST (OSSTMM PROFESSIONAL SECURITY TESTER) es una certificación ofrecida por ISECOM que certifica a profesionales bajo la metodología OSSTMM cuya versión 2.2 podeis descargar desde aquí. Otra metodología que complementa normalmente a OSSTMM es ISSAF (Information System Security Assessment Framework).

Las comunidades Hacker editan e-zines, algunos de estos e-zines se encuentran disponibles a partir de elhacker.net (os recomiendo saqueadores, SET). En esta misma página podeis encontrar infinidad de material que os puede servir para instruiros por vuestra cuenta, incluyendo las revistas en castellano de hackXcrack que pueden ser un buen comienzo.

En temas de análisis forense aún no me he movido demasiado pero CHFI (Computer Hacking Forensic Investigator) al igual que su hermando de hacking ético (CEH) goza de prestigio y es referente en materia de análisis forense.

Conclusiones

Aquí os voy a ofrecer un par de diagramas con itinerarios profesionales que os pueden dar una idea de cómo afrontar la formación en materia de Seguridad de la Información y Seguridad Informática respectivamente. Esto no debe ser tomado como una guía sino como una opinión basada en lo que yo he estudiado e investigado por mi cuenta.

Tal como os he dicho no dejéis de tomar esto como una opinión pero para más información podeis ir a portales de ofertas de trabajo online como por ejemplo infojobs y buscar por consultor de seguridad o por hacking ético y contrastar la información que aquí os he dejado.

Me gustaría que esta serie de post fuera el punto de inicio para que todos aquellos profesionales de la seguridad que pasen por aquí pusieran su granito de arena al respecto en términos de su opinión y sus conocimientos de certificaciones en este sector.

Salu2!!

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

jueves, 10 de septiembre de 2009

Seguridad: ¿Por donde empezar? (I)

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

Categoría: Seguridad de la Información
Seguridad Informática

Cuando uno se plantea definitivamente que esto de la seguridad le mola de verdad y quiere que pase de ser su hobby a que forme parte de su vida cada día pasando a ser su trabajo comienza a bucear y tras 15 googleminutos da con ISACA, quizá antes. Uno piensa, mmm esto parece un buen punto de partida y realmente lo es, pero no os confundáis, sacar el certificado CISA no te enseña a auditar. CISA te provee de un conjunto consistente de conceptos que te permiten afrontar con los conocimientos suficientes las diferentes áreas de la seguridad de la información y la seguridad informática a nivel conceptual. Y por qué digo lo de la seguridad de la información y la seguridad informática?, pues porque aunque suenan parecido se parecen en bien poco. La seguridad de la Información se entiende desde un punto de vista global a nivel de negocio mientras que la seguridad informática se decanta por el lado técnico. Haciendo una puesta en común con la ISO 27001, la seguridad de la información iría en consonancia con la norma al completo mientras que la seguridad informática equivaldría a profundizar en algunos controles puntuales de los puntos 10,11 y 12 de la norma. Un ejemplo bien claro lo supone el control 12.6.1 "Control de las vulnerabilidades técnicas" en el que se enmarcaría un Hacking ético.

Cuando uno da con ISACA además de CISA descubre CISM y el recientemente creado CGEIT que se situan en diferentes niveles de conocimientos como el propio desglose de sus siglas muestra (CISA tiene un enfoque de auditor, CISM de Manager de Seguridad de la Información, lo que se conoce como CSO y CGEIT una visión a nivel estratégico que podemos considerar emparejada a ISO 38500, y con emparejada me refiero a que tratan conceptos a nivel de Gobierno de las Tecnologías de la Información cada uno desde su lado). Tras unos googleminutos más uno encuentra (ISC)2 y su certificado CISSP que estando más orientada al plano técnico no deja de lado aspectos importantes del plano organizacional tal como muestran sus secciones "Business Continuity and Disaster Recovery Planning" e "Information Security and Risk Management".

Siguiendo en el plano de seguridad de la información pero adentrándonos en las normas y estándares internacionales podemos encontrar la bien conocida ISO 27001 (de la familia 27000 la norma que regula los conceptos es de descarga libre y esta disponible a partir de aquí) que regula los requisitos de certificación para un Sistema de Gestión de Seguridad de la Información, ISO 19011 que supone las directrices de auditoría para cualquier sistema de gestión.

Profundizando en el apartado 14 de ISO 27001 podemos encontrar BS 25999, que consta de dos partes: BS25999-1 donde se describen un conjunto de buenas prácticas (el equivalente a ISO 27002 pero para continuidad de negocio) y BS25999-2 donde se definen los requisitos para un BCMS (Business Continuity Management System) y que equivaldría a ISO 27001, la parte certificable. Lo cierto es que podemos perdernos si nos vamos por los laterales puesto que podemos encontrar normas de ámbito más específico como la ISO 15408 muy bien descrita en este post y cuyo cometido es clasificar el desarrollo seguro de un software en 7 niveles dando un significado claro del nivel de seguridad ofrecido por una solución comercial. O el estándar ANSI/TIA 942 sobre ubicación del CPD y niveles de disponibilidad.

No quiero enredar más, en la siguiente parte del post os ofreceré las conclusiones que yo he podido sacar hasta el momento de forma más clara pero, en lo que respecta a seguridad de la información lo descrito hasta el momento es un buen comienzo.

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

miércoles, 2 de septiembre de 2009

Virus en compilador de Delphi

Categoría: Noticias

Un virus que afecta a todos los programas en lenguaje Delphi en tiempo de compilación ha infectado miles de aplicaciones, incluyendo otros programas maliciosos.

El virus conocido como Win32.Induc, sustituye el archivo SysConst.pas usado por los compiladores Delphy dejando una copia del archivo original. Los programas compilados con el nuevo fichero diseminarán el código a otros sistemas si éstos disponen de versiones antiguas de ordenadores Delphi instalados. A pesar de que este código malicioso es antiguo, las firmas antivirus acaban de empezar a detectarlo.

Fuente: SecurityFocus

martes, 1 de septiembre de 2009

Las páginas web más peligrosas de Internet

Categoria: Seguridad en Internet

Norton presentó unos días atras un estudio realizado a través de su herramienta Norton Safe web donde se exponen los sitios más peligrosos de internet y se extraen conclusiones como las siguientes:
  • El 48% de los sitios web con conteido malicioso son webs para adultos
  • Hay gran variedad de sitios peligrosos entre los que se pueden encontrar algunos dedicados a la caza, servicios legales o compra electrónica entre otros.
  • Los virus son la amenaza más común en los sitios con este tipo de contenido.
  • 40 de los 100 sitios más peligrosos tienen más de 20.000 amenazas por sitio.
Como no, toda esta información está perfectamente cumplimentada con una lista de donde NO DEBEIS IR.

Podeis encontrar algo más de información aquí.

Fuente: http://www.elhacker.net/

El crecimiento de Internet

Categoria: Noticias

Holaaaaaaa!!!!

Muy buenas a tod@s!!!, encantadísimo de reencontrarme con vosotros después de las vacaciones y os deseo que hayais tenido un feliz y esperanzador retorno. He de decir que las mías se me han hecho cortas, pero cortas cortas.

Buceando por las noticias he visto algunas muy interesante y en el periodo vacacional que he pasado currelando y haciendo un artículo que he presentado a una conferencia en pisa, he aprendido algunas cosas que creo pueden resultar de utilidad y que voy a ir dejando aquí paulatinamente. Además, las cosas arrancan en mi nueva ubicación y eso me va a permitir, a buen seguro, disponer de gran cantidad de temas a tratar.

Ya os dejo la noticia.

Internet se parece bien poco a sus comienzos, esto no es ningún secreto, pero cómo todo esto ha sido posible, la infraestructura necesaria y algunas curiosidades ha sido estudiado y está disponible a partir de aquí. Un resumen con imágenes tan ilustrativas como ésta:


Fuente:
http://www.microsiervos.com/archivo/internet/mapeando-crecimiento-internet.html