Curso Incident Handling del SANS en Madrid

Leo a través del blog de José Selvi que se va a volver a impartir, la última vez fue en 2010 y tuve el placer de ser uno de los que disfrutaron de la formación, el curso de Hacker techniques, exploits & incident handling.

The most trusted source for computer security training, certification, and research

Es una toma de contacto muy buena con técnicas usadas en el pentesting pero, desde una perspectiva diferente, más defensiva. Para saber cómo defenderse, uno debe conocer cómo le van a atacar, y debe saber identificar a través de diferentes herramientas, si está siendo objeto de un ataque y, en tal caso, cómo actuar para contener, erradicar y recuperar el control del sistema.

Los instructores serán Rafael Alfaro y José Manuel Méndez. Conozco a ambos, a Rafa, porque fue mi instructor junto a José,  en el GPEN también del SANS, y a José Manuel, porque fue compañero en la edición del año 2010. Son excelentes personas y grandes profesionales.

Es una formación muy recomendable, el nivel técnico que se adquirirá durante el curso es muy bueno, se explican las herramientas y los métodos que usan a bajo nivel, más que aprendiando a usarlas, a entenderlas. Ahora me parece una obviedad, pero en su momento conocía lo que el comando tracert/traceroute hacía, tanto en windows como en linux, pero no entendía por qué a veces, su comportamiento era diferente. La explicación corta es que en windows se basa en ICMP y en linux en UDP, aqui tenéis más información. No es un curso que busque que el alumno sepa las tropecientas aplicaciones que hay para hacer un escaneo o lo que sea, sino que entienda la técnica. La herramienta es indiferente una vez sabes lo que te necesitas.

En este enlace podéis inscribiros, poneos en contacto previamente con ralfaro.march_arroba_ gmail.com para que os de toda la información.

Saludos

Anuncios

¿Qué revisar en un equipo antes de su puesta en servicio?

Una vez instalados los sistemas sobre los que se va a correr algún tipo de servicio (servidor de archivos, FTP, impresoras, WEB, aplicaciones…) comienza, o al menos debería, una fase de, podríamos decir, puesta a punto. Creo que es indiferente que vaya a ser un sistema expuesto a internet o bien uno interno, debería ser un paso obligado cuando se va a instalar un servidor. La típica excusa de “es un entorno de test, pruebas o desarrollo…” Eso no debe valer, ya que se prueba lo que sea sin las medidas de seguridad oportunas y cuando sube a producción de repente no funciona nada y, claro, hay prisa y no se puede esperar a realizar un buen bastionado del equipo. Seguro que sabéis de lo que hablo.

Voy a tratar de ser muy genérico, en el sentido que estos puntos sean válidos sea cual sea el servicio expuesto o la plataforma sobre la que esté instalado (Windows, Linux, *nix…). Comencemos por acciones que se pueden llevar directamente al equipo, con configuraciones propias de la tecnología  elegida, sin necesidad de ninguna aplicación de terceros:

  • Que el software que se use esté actualizado, tanto el SSOO como las aplicaciones que soporten el servicio. En la actualidad, y salvo casos concretos, no debería ser demasiado complicado llevarlo a cabo.
  • Verificar permisos con que se ejecutan los servicios, que la regla del mínimo privilegio prevalezca. Si en algún momento una aplicación se ve comprometida, que quien la explote tenga el menor privilegio posible a la hora de ejecutar comandos.
  • Asegurar una política de contraseñas fuerte. Ya comenté aquí algunas ideas a tener en cuenta a este respecto.
  • Ocultar la información que pueda exponer información no deseada. Cambiar el banner por defecto de bienvenida, personalizar páginas de error… Para que no muestren rutas internas, fabricante, versiones de software…
  • Eliminar todos los servicios y aplicaciones que no sean útiles. Mejor reducir la superficie de ataque al mínimo indispensable.
  • Habilitar logs específicos de auditoría. En caso de problemas, darán información útil para poder diagnosticar los motivos.
  • Aplicar permisos concretos a ficheros específicos, por ejemplo de configuración, logs… que restringa lo máximo su manipulación (lectura, modificación, borrado…)

Otras actividades que se pueden llevar a cabo, añadiendo algún software pueden ser:

  • Instalar un HIDS (Host Intrusion Detection System) que se alerte de la modificación de ficheros importantes del sistema.
  • Una solución SIEM siempre es de gran ayuda la hora de no perdernos por las miles de líneas de logs, en este caso no sería sólo de un equipo concreto, sino de todo el entorno en el que se encuentra.

 Si creéis que se puede completar, sois libres de dejar vuestros comentarios.

Hasta la próxima 🙂

La prensa y sus tonterías

Llevo un tiempo sin escribir, un cambio de puesto de trabajo de por medio me tiene bastante desconectado.

Lo de hoy es una entrada rápida a raíz de este artículo sobre cómo Snowden consiguió sacar la información que posteriormente filtró. En verdad, lo que hace el ¿periodista? es preguntarse cómo lo hizo, porque no da absolutamente nada de información. Nada que deba sorprendernos en estas horas tan bajas para esa profesión. Lo que me llamó la atención fue la cantidad de mitos, clichés y tonterías que hay alrededor de los informáticos en general y los que se dedican a la seguridad en particular (buenos y malos) y que estos ¿profesionales? no ayudan en nada a desmitificar. Esta frase es antológica:

“La afición más comúnmente atribuida a esta tribu es la obsesión con ‘Star Trek’, así que, en la patria del surf, un ‘geek’ pinta tanto como Cicciolina en Arabia Saudí”

De verdad, impresionante trabajo. Será que en EEUU esto es así, y a lo mejor estoy metiendo la pata hasta dentro, pero creo que este hombre ha visto demasiado The big Bang Theory.

Hasta la próxima.

La seguridad debe ser transparente al usuario

Hace un tiempo leí el siguiente artículo en que el autor se pregunta donde está el Steve Jobs del mundo de la seguridad, desde entonces tengo pendiente escribir sobre esto. Cada vez se avanza más en las soluciones de seguridad en general, haciéndolas amigables y, a veces, transparentes para el usuario, pero habrá que seguir trabajando en ello, porque creo que la clave está ahí, en que él no sepa que es lo que se hace por debajo. Queda bien eso de implementar productos simples, fáciles de usar, con unas características que lo hacen muy seguro, pero la clave está en la transparencia. Hay que hacer que para el usuario la palabra cifrado, actualizaciones de seguridad (especifico seguridad porque para añadir nuevas pantallas a un juego y cosas de ese tipo no tienen problema en aprenderlo), bastionado de equipos, firewall, apertura de puertos… Sigan siendo conceptos que no entiendan, pero sí que sean tecnologías que usan a diario sin saberlo.

Las actualizaciones automáticas de los SSOO fueron un primer paso, los AV, casi todos los navegadores dan la opción de hacerlo en la actualidad, sus plugins también empiezan a hacerlo, y así nuevos programas se van uniendo, todo sin que el usuario tenga que hacer nada. Cuando hay un parche o nueva funcionalidad, la aplicación lo baja y en el siguiente reinicio lo aplica y listo. La activación por defecto del firewall de Windows XP SP2 fue un gran acierto. El que quería abrir puertos para juegos u otras aplicaciones se molestaba en averiguar como, pero la mayoría de la gente estaba más protegida sin saberlo, y ni falta que hizo.

Está la opción se seguir con la concienciación del usuario, pero no parece que los resultados sean los esperados. Ya lo comentó hace poco David Barroso en su blog y los comentarios de Juan Garrido o José Selvi, entre otros, son de obligada lectura. Como es lógico, no se puede eliminar al usuario de la ecuación, pero sí delegar lo menos posible en él, siempre que pueda haber una solución técnica que lo proteja, aunque no lo sepa.

Saludos

Cifrado de información

Esta semana a un amigo le han robado el portátil con el que trabaja. En el momento del incidente, estaba trabajando en un proyecto internacional. Afortunadamente, no fue nada violento y no hubo pérdidas más allá del equipo… ¿Seguro? Esto es lo que dice él pero ¿Tenía cifrada la información? La respuesta es NO. Ahora hay varias posibilidades, que haya alguien disfrutando de un portátil, lo formatee y lo use para lo que crea conveniente, otra es que se ponga a revisar qué tipo de información hay y vea diseños, código fuente de aplicaciones de la empresa, esquemas de direccionamiento, planes de negocio, BBDD de clientes, documentos de gestión (lo que sea con lo que trabaje) o bien que simplemente vea cuando navegue que mi amiguete tenía la opción de guardar contraseñas en el navegador, pudiendo acceder a su correo, perfil en diferentes redes sociales, los servicios online… O varias de las opciones a la vez… Vamos, un auténtico desastre. Pero lo curioso, es que él sólo ve la pérdida del equipo (afortunadamente, tenía copia de lo que el considera importante, a saber qué será).

Ya lo dije aquí en su momento, la herramienta para estos menesteres que uso es TrueCrypt, sobretodo a nivel particular, en el plano profesional hay una solución corporativa. Creo que toda empresa que tenga a empleados trabajando fuera de las oficinas (ya sea viajando por necesidades de proyecto, o por estar en cliente), debería tener un procedimiento claro y sencillo de cómo trabajar con volúmenes o discos cifrados. Hay pocas excusas para no hacerlo, los SSOO suelen llevar opciones nativas (Bitlocker, Filevault, LUKS…). En el caso de empresas, que seguramente trabajen con Windows, su solución se puede gestionar a través del directorio activo, con lo que la tarea se simplifica. Está claro que es una capa más a tener en cuenta pero por este tipo de incidentes creo que compensa.

De cuando en cuando sale alguna noticia que un portátil con información sensible se ha “extraviado” y la información queda expuesta o peor, no expuesta pero sí en manos de la competencia. Hasta que no haya un incidente grave seguramente no se tome conciencia de ello (que se lo digan a la NASA) mientras tanto, se seguirá asumiento un riesgo que cada uno tendrá que valorar.

Saludos

Resumen de la Rooted – Parte 2

Comenzó el viernes 8 con los hermanos Tarascó (Andres y Miguel) OWISAM – Open WIreless Security Assessment Methodology. Genial la presentación y el proyecto. Muy interesante unificar las metodologías y herraminetas en un único framework. Estoy deseando que liberen una versión para poder jugar con ella. Habrá dos versiones, una gratuíta y otra de pago. Supongo que esta última incluirá la opción de disponer herraminetas ofensivas, por lo que dijeron en la charla, pero es un suponer mío. Habrá que esperar.

La ponencia de David Barroso Un gentil viaje al interior de las extorsiones mediante DDoS estuvo muy bien. Curioso que ya no sólo se vende el programa al cliente y éste es el encargado de infectar equipos para crear la botnet, sino que ahora te dan la opcion de controlar directamente los zombies. Todo fácil y rápido. Llamó mucho la atención de la profesionalización de este tipo de servicios, con este vídeo por ejemplo 😀

Sebastián Guerrero, con la charla Ke ase Android? demostró su conocimiento de la plataforma, y cómo el kernel y las librerías de sistema se quedan fuera del sandboxing, con lo que se puede llegar a cargar un módulo LKM con todos los privilegios disponibles a su alcance.

Por último, Roberto Barata y su presentación eFraude: ganar gestionando la derrota. Fue divertida, amena y muy interesante respecto cómo desde su compañía se defienden del fraude por internet. Explicó cómo a pesar de las medidas que suelen poner para evitarlo, el componente humano lo hace inservible (tarjetas de coordenadas introducidas enteras en páginas de phising) o  cómo las OTP (One Time Passwords) al móvil, debido a lo fácil que es conseguir un clon con cualquiera de las grandes compañías, se puede evadir sin mayores complicaciones.

Saludos a todos

Resumen de la Rooted – Parte 1

Como ya comenté por aqui, la semana pasada se celebró la Rootedcon. En líneas generales, hubo un buen nivel en los temas que se presentaron, quiero hablar de los que más me llamaron la atención. Pero antes, agradecer a la organización que sigan con fuerzas para seguir sacando adelante este evento, que no debe ser nada fácil, buscar emplazamiento, patrocinadores, CFPs, los rootedlabs… Creo que hay mucho trabajo detrás que no vemos los asistentes, así desde aquí mi agradecimiento por ese esfuerzo.

Vamos al lío, el jueves 7 comenzó con la charla de Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? de David Fuertes. Me pareció interesante el concepto de “señales débiles” para poder detectar si nuestros sistemas han sido comprometidos o no. También, hizo hincapié en un detalle que se suele olvidar, y es que la automatización que nos proveen las herramientas actuales es buena y válida cuando se trabaja mucho en su puesta a punto, en sus configuraciones, adecuándolas a las necesidades particulares de cada caso… No es llegar y colocar los IDS/IPS, UTMs, sondas, o lo que sea. El factor humano y el trabajo inicial es muy importante si se quiere sacar provecho de las herramientas y amortizar el coste de licencia y mantenimiento.

Me sorprendió para bien la charla de Antonio Ramos ¿Y si la seguridad afectara al valor contable de la empresa? El título lo dice todo. Los que, de alguna forma, tenemos cierta responsabilidad en la seguridad de los sistemas, nos encontramos mucho con una asumción de riesgos que nos ponen los pelos de punta. Si la motivación de una empresa es ganar dinero (como la de todos, no nos engañemos), si hay irresponsabilidades en el ámbito de seguridad, eso se debería ver reflejado en las cuentas, donde duele, como se suele decir. Sería una muy buena forma para que se tomara algo más en serio y no se asumieran los riesgos, como actualmente ocurre, de una forma tan ligera (y seguramente irresponsable en algunos casos). En las preguntas al ponente se hizo mención a que era más una utopía que otra cosa, y puede que así sea, estamos lejos, pero no por ello hay que dejar de luchar para mejorar el escenario actual, donde cumplir la normativa de turno suele ser la motivación principal, no el servicio o la calidad del producto en sí.

Juan Antonio Calles y Pablo González presentaron Flu-AD en su charla Metasploit & Flu-AD: Avoiding AVs with Payloads/DLLs Injection. Durante la charla explicaron las nuevas funcionalidades, las técnicas que usan para la evasión de los AV, cómo cargar los módulos, cómo comprimieron el ejecutable por debajo de 50KB… Un grandísimo trabajo.

Por último, los proyectos de DIY me gustan porque siempre son originales e impactantes y David Menéndez con Trash Robotic Router Platform (TRRP) no se quedó atrás. Explicó cómo con algo de conocimiento, ingenio y tiempo, se pueden crear robots de lo más curioso.

Seguiremos con las charlas del viernes proximamente 🙂

Saludos a todos