[Ransomware] CTB Locker

Hace unas semanas se dio a conocer una nueva variante del ransomware Curve-Tor-bitcoin (CTB-Locker), conocido también como Critroni y se está distribuyendo a través de spam. Éste ransomware “cifra” toda la información del disco duro y muestra una leyenda para efectuar un pago y liberar los datos.

Según ESET  Polonia, República Checa y México son los países más afectados. Estados Unidos representa sólo el cinco por ciento del total de las infecciones.

Este ransomware ofrece más tiempo a las víctimas para pagar el rescate pero ahora el dinero a pagar es mucho mayor al de versiones anteriores, según un estudio por Trend Micro.

ESET publicó el miércoles que CTB-Locker se distribuye a través del spam, pero las víctimas están obligados a pagar un rescate de 8 bitcoins (más de $ 1,800 dólares) dentro de 96 horas, antes de que los archivos sean cifrados de manera permanente. En Julio del 2014 se observaron diversas versiones de CTB-Locker el cual daba hasta 72 horas para el pago y el costo era menor a 1 bitcoin.

La campaña de propagación de este ataque comienza con un falso correo electrónico que llega a la bandeja de entrada de los usuarios. El asunto del correo simula ser un fax enviado con un adjunto, detectado por las soluciones de ESET como Win32/TrojanDownloader.Elenoocka.A. En los sistemas de usuarios desprevenidos que ejecuten esta amenaza, tendrán como resultado que todos sus archivos serán cifrados debido a que esta primera amenaza descarga una variante de Win32/FileCoder.DA.

Las variantes de Win32/TrojanDownloader.Elenoocka.A se conectan a una URL remota, con el fin de descargar el malware detectado por ESET como Win32/FileCoder.DA y conocido como CTB-Locker. Esta familia de ransomware cifra todos los archivos del sistema de manera similar a la que lo hace CryptoLocker. Su principal diferencia se basa en que esta familia de malware utiliza otro algoritmo de cifrado, que da origen a su nombre.

El resultado es similar a CrytoLocker o TorrentLocker, los archivos con extensiones como MP4, .PEM, .JPG, .DOC, .CER, .DB entre otros son cifrados por una clave, que hace prácticamente imposible recuperar los archivos. Una vez que el malware terminó de cifrar la información del usuario mostrará por pantalla un cartel de alerta y además cambiará el fondo del escritorio con un mensaje similar al que ven en la siguiente imagen:

001

Con el fin de asegurarle al usuario que podrá recuperar sus archivos si realiza el pago, los cibercriminales ofrecen una demostración de cómo recuperar algunos archivos a modo de ejemplo, esto lo pueden ver aquí:

002

El impacto que esto puede tener para una empresa o un usuario que no cuenta con una solución de backup, es capaz de convertirse en un verdadero dolor de cabeza. Luego de que el usuario probó que puede desencriptar los archivos, los cibercriminales le muestran cómo debe hacer para recuperar su información, en dónde puede conseguir los Bitcoins y la dirección a la cual hacer la transacción:

003

Otro detalle peculiar de CTB-Locker es que el mensaje que le muestra al usuario está en diferentes idiomas, si el usuario decide verlo en inglés el precio será en dólares, en caso contrario la moneda será en euros.

Es una realidad que la técnica de encriptación que utiliza CTB-Locker no hace posible la recuperación de los archivos a través del análisis del payload. Sin embargo existen ciertas medidas de seguridad que se recomiendan para usuarios y empresas:

  • Si cuentan con una solución de seguridad para servidores de correos habilitar las funcionalidades de filtrado de extensionesposiblemente maliciosas. Esto ayudará a bloquear archivos con extensiones .SCR como el caso deWin32/TrojanDownloader.Elenoocka.A que reportamos en este post
  • Evitar abrir adjuntosde dudosa procedencia en correos que no se ha identificado el remitente
  • Eliminar los correos o marcarlos como spampara evitar que otros usuarios o empleados de la empresa se vean afectados por estas amenazas
  • Mantener actualizadas las soluciones de seguridad para detectar las últimas amenazas que se están propagando

Contrarrestar este tipo de ataques puede no ser una tareas sencilla, y es necesario tomar una postura proactiva, apoyar a la tecnología con educación y por sobre todo estar atentos a los correos que se reciben

Vía: We Live Security

Desconfía hasta de tu sombra.

[this is STILL a stub]

Aparentemente en estos días el anonimato se ha convertido en un lujo. Desde las cámaras que te graban en el oxxo para que no te robes papitas, hasta los recientemente descubiertos backdoors en los dispositivos que usen iOS, pasando por un señor manco de lentes que, con la mejor mezcla de tecnología y violencia desmedidas (si, ambas), al fin se puede decir que “you are being watched, Neo”.

En este momento existen tantos dispositivos o mecanismos que propician la pérdida del anonimato, que, aparte de ser imposible de enumerarlos todos, sería incluso insulso siquiera pensar en ellos. Todos los dispositivos móviles, cámaras web, redes sociales y hasta los vendedores de elotes (no se desprecia la profesión, algunos elotes son la leche), presentan características heredadas de la pérdida del anonimato para los usuarios / clientes de estos servicios.

Cada vez que haces una llamada, cada vez que compras con tu tarjeta de crédito, cada vez que haces una conferencia de skype, cada que envías tu próxima fiesta en feis, o cada que estableces un check-in en dairy queen con tu dispositivo portátil, estás siendo trazado. Tal vez no de manera directa, o explícita, pero tu huella digital (digital) ha sido almacenada y, con toda seguridad, se encuentra en proceso de revisión para analizar si eres un terrorista que quiere hacer caer al imperialismo yanqui o si solamente quieres ir a comprar cositas de plástico al bestbuy de tu localidad más cercana.

Tus pasos digitales están siendo almacenados quien-sabe-dónde con el fin de analizar tu comportamiento y verificar si representas realmente una amenaza para la humanidad o si solamente tu sueño es llegar a ser gerente en alguna empresa de alto renombre, dedidcada a cualquier cosa, para poder comprarte una casa en algún lugar que empiece con la palabra “cumbres de” o “pedregal de” y, eventualmente, comprar cosas innecesarias con esa persona que aparenta ser la esposa abnegada que nisiquiera conoces y que poco a poco te roba el alma con esas visitas a lugares de familiares que siquiera escuchaste hablar de ellos.

Cuando abres esas páginas de colombianas cachondas, tu ISP genera un perfil de tu dirección IP (siempre y cuando no se haya renovado, porque qué oso mostrarle sitios de trasvestis a un usuario que acaba de contratar el servicio), y, de cuando en cuando y con los sitios que lo permiten, te proporciona una fuente confiable de publicidad que, por la menor cantidad de esfuerzo, te pondrá en contacto con esas latinas ardientes que están buscando marido para escapar del régimen de su país… errr… para encontrar el amor verdadero en otro país. Una palabra mezclada con la frase “me gusta” o “se ve interesante” de cualquier cosa, te proporcionará una enorme cantidad de publicidad dirigida a tus gustos particulares en todos los sitios que utilicen ADs para sobrevivir. NOTA: esto no funciona si estás interesado en ser un astrofísico o salvar a la humanidad, nadie tiene tiempo para esa basura.

Poco a poco tus gustos de navegación se convierten en estadísticas, un número más de qué tipo de material erótico prefieren los argentinos o cuánta basura innecesaria compran en línea los ukranianos. Todo lo que pensabas que era personal ahora se ha agregado a un perfil trazable, un mecanismo que podría servir tanto para tu protección de tu propia existencia, como para tu extinción inminente. Un perfil que te podría dar la entrada al país al que irás en esas vacaciones que tienes planeadas desde hace 3 años, o que hará que te deporten como simple terrorista hacia el país tercermundista más cercano sin remordimiento. Y todo eso sin suéter.

Si bien es un hecho que no satanizo el análisis de los metadatos, estoy completamente convencido que la captura anónima de información personal es degradante y debería detenerse o al menos enfocarse a los objetivos primordiales. Es decir, pienso que cualquier “spook word” que aparezca en este post, no debería ser tratada como cualquier spook workd encontrada en correos electrónicos que hayan sido enviados entre el KKK y los nacionales socialistas para detener la siguiente inmigración ilegal hacia algún país “primermundista”.

Palabras más, palabras menos, no podrían confiar en que un poster (yo) podría estar coludido con la NSA para poder verificar sus datos de navegación y poder trazarlos y etiquetarlos como riesgo potencial y gastar dinero del erario en el análisis de sus visitas as cubanascachondas.net, así que, mientras analizan si esto es un post real o una farsa, les dejo un par de ligas que están haciendo referencia a estos datos. Creerlas queda en ustedes.

Aquí dice que si eres ñoño, te gustan las compus, linux y chichis, eres un riesgo para la existencia de la estabilidad económica internacional.

NSA classifies Linux Journal readers, Tor and Tails Linux users as “extremists”

Aquí se muestra un artículo de que se canceló una demostración de cómo se puede exploitear tu ya-no-tan-seguro TOR mediante diversas técnicas.

Blackhat USA 2014: A Schedule Update

Y aquí se muestra un artículo donde se menciona que todos los iOS están abiertos a diversas “influencias” externas.

Forensic Expert Says All iOS Devices Are Running Backdoor Services

Mas una bonita presentación hecha por el hax0rz que ha descubierto esto.

Y como no puede faltar, la respuesta de Apple respecto a los comentarios sobre el producto.

Apple denies installing iOS ‘backdoor’ services for government agencies

Trabajar implica el pago por servicios/productos. Si no pagas, no es trabajo.

K.

[THIS STILL IS A STUB]

 

Ingeniería Social en Facebook

Hola lectores!

En estos últimos días he recibido una gran cantidad de notificaciones en Facebook que al abrirlas me llevan a un post que dice algo parecido a esto:

Quieren “hackear” – tener el password de la cuenta de alguien en Facebook? Aprovechen esta vulnerabilidad antes de que se den cuenta y la quiten, está funcionando AHORITA!

1. Necesitan utilizar Google Chrome
2. Se meten al perfil de la persona
3. Aprietan la tecla F12
4. Van a la seccion/pestaña que dice “Consola”
5. Copian y pegan el siguiente código <ver abajo>, presionan <ENTER> y listo!!! Se abrirá un pop-up con el password de esa persona!!!…..

Pues como bien dicen las instrucciones, se trata de ejecutar un script que “hackea” a nuestra víctima, sin embargo el script lo que hace es un “hackearnos” a nosotros mismos.

facebook

 

¿Qué hace en realidad el script?

Como primer paso le da “like” a varias páginas de Facebook, que posiblemente lo único que hagan es llenar nuestro muro de spam.

Y como segundo paso, le estamos diciendo a Facebook que etiquete a todos nuestros contactos en la publicación original consiguiendo lo siguiente:

facebook2

 

Nótese la cantidad de comentarios…

¿Y si me han estiquetado, también estoy infectado?

En realidad no, siempre y cuando no hayas seguido las intrucciones 😉

 

Para evitar que esto se siga haciendo viral, comparte este artículo con tus familiares, amigos y conocidos.

vía: Rafael Tuduri

Mecanismos de defensa. Parte IV. (+Contenido anarcorijoso).

Eres quien eres y nadie más. Tu identidad es la unica pertenencia que es imposible que te sea removida de tu existencia incluso después del término de la misma. La existencia se puede referir en dos partes: presencia y trascendencia.

La presencia es el hecho de estar ahí, en este preciso momento, haciendo las cosas que tienes que hacer y pensando en lo que estás haciendo. La presencia por si misma es un estado existencial que es imposible eliminar. La presencia es demostrada con acciones cotidianas como ir por las tortillas o subirse al camión. Estás presente porque haces acciones y haces acciones porque estás presente.

La trascendencia es el hecho de permanecer aquí, ahí y allá, para siempre, siendo referencia de las cosas que se tienen que hacer, de la verdad absoluta, de las máximas de la existencia. La trascendencia es el estado existencial que permite que tu influencia se prolongue más allá de tus limites temporales. Que hagas sin hacer. Que estés sin estar. Que vivas sin vivir. Que existas sin existir.

Si bien, cualquier trascendencia tiene como requisito la presencia,  para lograr la primera es necesario romper los limites de la segunda. Salir del cuadro. Quebrar o deformar las reglas. Atreverte a lo que cualquier individuo se atreve, pero haciéndolo realmente.

Si bien las reglas se aplican para el común de la gente, existen individuos agraciados que pueden salir de las reglas, que pueden romperlas sin llegar a hacer daño al prójimo. Éstos individuos comúnmente denominados “liberales” o “revolucionarios” se encargan de recordarle al yugo de la opresión que siguen siendo individuos, libres y pensantes, que pueden reclamar en cualquier momento su presencia y abogar por su trascendencia, incluso en lugar de alguien más.

En estos días, esos individuos son perseguidos cual verdaderos criminales. Son menospreciados por sus gobernantes, son alejados de su línea presencial y son tomados por la peor[1] clase[2] de existencia[3] que pudiera haberse creado en cualquier línea de tiempo. Estos gobernantes olvidan que en algún momento alguno de sus antecesores realizaron las mismas acciones para que ellos mismos pudieran estar ahí, gobernando (y en algunos casos siquiera de manera presencial), consumiendo recursos que, si bien tienen la obligación de administrar, distan mucho de pertenecerles. A pesar de todo esto, se dan el lujo de considerarse a ellos mismos como seres agraciados que tienen la responsabilidad de decidir qué es bueno y qué es malo para quienes están “abajo” de ellos.

Ésta y miles de razones más siembran terror en los individuos y, eventualmente, cualquier intento de expresión de individualidad se ve amainado por la influencia del miedo. “Si dices algo, se volverán contra ti”. Y en ese preciso momento, tu individualidad ha cesado de existir.

TOR (The Onion Ring / Router / Realm) proporciona una alternativa de anonimato para todo aquel individuo que, preocupado por que el malvado yugo de la opresión le robe su identidad, su individualidad, pueda ejercer su derecho a expresarse y actuar (al menos de manera virtual).

TOR utiliza un protocolo de encripción llamado onion, por semejanza con las capas de la cebolla (y no hablo de la analogía de Shrek): tus datos se encuentran en el centro y, en cada salto que dan entre los servidores de la red onion, son cubiertos con una capa de encripción que utiliza llaves públicas y privadas. Adicionalmente, tu tráfico es “originado” en una dirección aleatoria: en un momento puedes estar en Praha y en el siguiente en Русся (la mágia del internet, bitch). De esta manera, se te permite expresar las inconformidades de tu presidente sin que te puedas perocupar por que éste pueda leer lo que piensas de él (actualmente nos encontramos en una investigación para confirmar o refutar la hipótesis de que sepa leer).

Nota al pie: hace algunos meses / dias / años, el dueño de freedomweb fue arrestado por tener almacenadas cantidades inconmensurables de archivos ilegales en sus servidores que servían como nodos de TOR (el gobierno asegura que se trata de illegal pr0n o cosas peores, como DVD’s pidatas y fotos de znewd4n en lingerie). Independientemente de lo que el gobierno piense, es una máxima que la illegal pr0n (y los DVD’s pidatas) es algo que se debe evitar, así como se debe eliminar a las personas que producen este tipo de contenido. Desgraciadamente personas de éste tipo existen en todos lados y TOR les proporciona el beneficio del anonimato que el resto de los individuos deberíamos estar disfrutando para causas nobles como derrocar a un presidente inepto o pedir que traigan las temporadas de Hell’s Kitchen a la television abierta.

Como muestro en otro lado, tú, individuo anónimo, te encuentras a la mitad de una lucha entre las clases “altas” y “bajas” de la sociedad. Estás sosteniendo el tejido social que permite que puedas seguir yendo a ver el futbol en el nuevo estadio que hicieron solo para ti, que hagas carne asada en la casa de tus suegros y que disfrutes esas latas rojas con un águila negra estampada que comúnmente sería confundida con orina de algún mamífero de mediano tamaño. Hablo de ese tejido que anteriormente te permitía dormir en el patio de tu casa o caminar a las 10 de la noche por el parque de tu colonia sin preocuparte de lo que les fuera a pasar a ti, a tu familia o peor, a tus barajitas de pokémon.

Sostienes ese tejido social que ahora está siendo utilizado como cuadrilátero de lucha libre por los extremos de las “clases sociales” para montar su trascendente drama impertinente. Desde las reformas que pretenden obtener mayores ingresos para los expresidentes, hasta la venta de tiempos compartidos en un volcán inactivo al centro de la República Mejicana, tú, ciudadano común (tal vez un poco simplón, pero nunca corriente), continuarás sometiéndote a los caprichos de aquellos campesinos oprimidos que se alzaron en armas contra la dictadura y que ahora se mantienen ganando mensualmente el equivalente a un año y medio de tu salario (antes de impuestos), incentivos de productividad, vales de despensa e intereses moratorios por la casa que terminarás de pagar en alrededor de un lustro, juntos. Y revueltos.

Dicen que un individuo cambia por una razón importante. Desgraciadamente esas razones comúnmente son negativas y siempre terminan jodiéndote la vida.

¿Cuánto tienes pensado soportar?

Primer ForoCEH Monterrey

El  pasado jueves 8 de Agosto tuve la oportunidad de asistir al primer #ForoCEH, un evento exclusivo para profesionales de seguridad certificados en Ethical Hacking.

Pues bien, este #ForoCEH pretende reunir a los profesionales de seguridad informática para tratar temas de actualidad, sobre como día a día se van viendo los nuevos ataques, las nuevas técnicas, las nuevas herramientas, entre otras cosas, pero sobre todo armar una toda una comunidad de apoyo entre todos.

Este evento fue patrocinado por Codigoverde (twitter @codigoverde)  en el cual tuvimos 2 charlas muy amenas, la primera por parte de David Schekaiban (a.k.a @dstmx ) y la segunda por David Taboada ( a.k.a @katalink).#ForoCEH1-06

En la primera, @dstmx nos platicaba de la seguridad ofensiva y de como debemos ir viendo la seguridad en nuestras empresas. Como bien decía “No todo se soluciona con cajitas”, hoy en día el Firewall, el IPS, el antivirus, solamente forman parte de la tecnología para proteger, pero ya no son la suite completa de seguridad. Actualmente los ataques son tan sofisticados y dirigidos que ya no es necesario burlar una caja de seguridad, sino que ahora se trata de inyectar el ataque a traves las personas, los dispositivos móviles, o cualquier cosa que esté conectada a una red.

#ForoCEH1-04También nos mostraba las tendencias que se mencionaban a finales del año pasado y que se han ido cumpliendo; también nos platicaba de cuales eran las tendencias para fines de año y el 2014.

Otra cosa que nos platicó fue sobre su conferencia en #CPMX4 y las estadísticas que nos mostró de como eran engañados personas de todos los ambitos profesionales es increible. Realmente el uso de la ingeniería social funciona muy bien y no requiere de mayor esfuerzo.

 

En la segunda plática David Taboada nos platicaba sobre el IFAI y la protección de los datos personales, otro tema de mucho interés que se está viviendo en México, pues ya hemos visto en las noticias, periódicos y revistas las multas que se han aplicado por no cumplir con esta ley.

Finalmente tuvimos un par de dinámicas en las cuales nos presentamos y platicamos un poco de que es lo que hacemos, como nos ha ayudado la certificación en la vida diaria, a las empresas que valor les otorga, entre otros datos curiosos que salieron en las pláticas.

#ForoCEH1-08

En lo personal, este evento se me hizo muy interesante y me gustaría que se repitiera en varias ocasiones a lo largo del año, ya que el tener relación con personas del mismo ambito y que día a día buscamos proteger a nuestras empresas de los Hackers podría aportar mucho a esta gran comunidad.

 

 

 

Fase II: De la ejecución. De los procedimientos. Parte III.

Fallas y problemas.

Aparentemente.

Todo procedimiento se encuentra ante la constante amenaza de un fallo. Es un hecho: cualquier tarea, proceso, procedimiento, sistema o esquimal, desde el momento de su concepción, está destinado a fallar. La calidad del control que sea aplicado a un entorno es lo unico que evita que todo se vaya al carajo desde el momento mismo en que algo, cualquier cosa, es creada. Por si fuera poco, eventualmente, tendremos que reparar los fallos.

A pesar de que todos los fallos normalmente son manejables y reparables (con su debido tiempo), es imperativo llegar al fondo de las cosas, al por qué de la situación, al saber quién ejecutó el “borratodo.sh” o “eliminasystemroot.exe o por qué cuando pones un patron irregular de 14 caracteres en un campo de 15 caracteres tu página web te redirige a google con una busqueda de RTFM. De la misma frustrante manera, cualquier fallo debe ser reportado inmediatamente y debe ser sujeto a un diagnóstico. Éste debe presentarse de manera clara y detallada con el objetivo de poder establecer un procedimiento estándar de resolución de, al menos, ese problema en particular.

A continuación les presento un procedimiento que se puede utilizar para realizar un diagnóstico adecuado de un problema de un sistema informático. Estos pasos pueden ser tomados como referencia para cerrar el campo de influencia del origen de lo que se encuentra provocando el problema. Para realizar el procedimiento hemos reunido a una considerable cantidad de eminencias de la informática actual que no dudarían en descuartizar un servidor para llegar al fondo de las cosas. Fueron ellos quienes nos han inspirado a realizar un procedimiento no invasivo de un inconveniente informático presentado en un entorno heterogeneo.

Este documento será integrado a la metodología PEA tan pronto sea liberado. El documento se encuentra en constante modificación, por lo que será conveniente mantenerse al tanto de las ediciones futuras (sí: lean todos los artículos y regresen todos los dias a dar F5).

Úsenlo a discreción.

—————– sketch ———————

Manual de procedimientos no invasivos
para diagnostico de inconvenientes informáticos
de un ambiente operativo heterogeneo.

Fecha.

Cliente: Nombre y/o descripción del cliente.

Introducción general.

Descripción breve del problema, preferentemente una vez encontrando la solución. Normalmente una o dos oraciones descriptivas de lo que sucede y de qué manera sucede (qué pasa, qué lo ocasiona y cómo evoluciona).

Solución.

Se describe de manera general la forma de solucionar el inconveniente, preferentemente, a manera de redacción. En caso de que sea secuencial, asegurarse que ningún paso dependa de otro que no sea contemplado y que cada paso sea claro y aplicable por cualquier persona. En lo posible, incluir en este mismo paso la evidencia de cómo solventar el inconveniente.

Causado por.

Normalmente llamado “causa raíz”, debe incluir el entorno en el que se genera el inconveniente presentado. El por qué y cómo sucede el incidente o se genera el problema. En caso de sospechar que no se trate de la causa raíz, indicarlo de manera explícita y clara.

Descripción del caso.

Descripción detallada y extendida del caso. Mientras más detalles se obtengan, muchísimo mejor. La descripción debe presentarse a manera de redacción, preferentemente con las palabras del usuario. Se pretende hacer un borrador de las ideas proporcionadas por el cliente, para posteriormente aclararlas a manera de redacción técnica, con los equivalentes proporcionados por el mismo cliente. Se deben incluir, pero no limitarse a: Direcciones IP, nombres de usuario, medio de acceso (internet, VPN, DMZ, etc.), tipo de suscripción, descripción de suscripción, si ha comprado más recursos, si ha sido funcional alguna vez y todo lo que tenga que ver con el procedimiento del cliente o de quien ha encontrado el problema.

Síntomas.

Se debe describir de manera secuencial los síntomas que el cliente ha presenciado, además de ir agregando adicionales conforme se vayan encontrando durante la revisión. Los síntomas deben ser estrictamente tautologías.

Correcto:

1.- El servidor se encuentra sin responder pings.
2.- La suscripción se quedó a la mitad del aprovisionamiento después de ejecutar la tarea.
3.- El equipo se encuentra desconectado de la red.
4.- Es imposible agregar un registro DNS debido a que se recibe un error.
5.- Es imposible completar el procedimiento de manera adecuada.

Incorrecto:

1.- No se puede conectar al servidor.
2.- Las tareas no se completan.
3.- El equipo no está conectado a la red.
4.- No se puede agregar un registro DNS. Marca error.
5.- El procedimiento no se puede completar bien.

Antecedentes del cliente.

Los antecedentes deben incluir, de manera indizada, los eventos descritos por el cliente. De la misma manera, deben ser secuenciales y se deben ir agregando registros conforme vayan siendo encontrados, preferentemente de manera cronológica desde la creación de la suscripción o de haber encontrado el inconveniente. Es indiferente si los antecedentes son descritos mediante tautologías o mediante oraciones estructuradas, siempre y cuando definan un estado en la existencia de la suscripción del cliente.

Datos recabados.

Todo lo relacionado con el procedimiento de verificación. Es imperativo complementar cualquier dato encontrado, indistintamente de si se trata de algo esperado o de un error propiamente hablando. La documentación debe ser de manera secuencial basada en los componentes de un servicio cualquiera y debe generarse en el siguiente orden: Hardware, Software, Redes, Aplicación y Usuario. Los datos a recabar deben incluir el inicio y el fin de la existencia de la suscripción reportada así como los datos de los lapsos en que se hayan mencionado inconvenientes.

Hardware:

Rendimiento CPU.
Rendimiento RAM.
Rendimiento Disco.
Rendimiento Red.
Modificaciones a la configuración del equipo.
Límites de dispositivos físicos.

Redes:

Carga de los dispositivos de interconectividad.
Rutas estáticas.
Consumo de ancho de banda y si existen límites.
Disponibilidad de la red (ping).
Alcance de la red (traceroute).
Modificación a componentes del equipo (adición / remoción de interfaces de red).
Modificación a componentes del sistema operativo (Adición / remoción de rutas estáticas, entradas ARP).
Modificación a componentes de la aplicación (Rutas, direcciones IP, usuarios y contraseñas inmersos en el código).
Límites de recursos de los componentes físicos y lógicos.

Software de bajo nivel (Sistema operativo):

Registro de Eventos / mensajes del sistema.
Tiempo de ejecución continua.
Cantidad de IOPS (en caso de ser disponible).
Necesidad / demanda de Interfaces de Red.
Modificaciones a la configuración del sistema operativo.
Límites de dispositivos lógicos / recursos asignados.

Software de medio / alto nivel (Aplicación):

Requisitos de la aplicación.
Límites de la aplicación.
Datos inmersos en el código.
Validación de errores por parte de la aplicación.
Registro de eventos.
Validación de rendimiento.
Validación de procedimiento de aseguramiento de calidad del desarrollador.
Validación de compatibilidad de la arquitectura de la aplicación con la arquitectura de su entorno.

Usuario final:

Forma de utilizar la aplicación.
Documentación previa.
Experiencia previa.
Tiempo de uso de la aplicación.
De qué manera aprendió a utilizar la aplicación.
Si el usuario es sysadmin.
Si el usuario cuenta con conocimientos avanzados de su aplicación.
Si se han presentado errores adicionales durante el uso de la aplicación.
Si los inconvenientes han sido solventados de fondo.
Si cuenta con procedimientos extraoficiales para mantener el funcionamiento de su aplicación.

Todos los datos deben ser recabados aun cuando la relación que muestren con el inconveniente presentado pueda ser difusa o ligera. Solo se deberán eliminar una vez que se haya descartado completamente de manera práctica que carecen de relación con el problema reportado. Normalmente esto se puede definir como “lluvia de ideas”.

Es posible iniciar de manera inversa, es decir, se puede comenzar diagnosticando el inconveniente a nivel usuario y bajar hasta llegar a los componentes del equipo.

Veredicto (y recomendaciones).

Descripción extendida de las causas del inconveniente generado. Recomendaciones para evitar que este inconveniente se presente nuevamente, en caso de que las mismas existan.

Referencias.

Todo aquel documento que sustente las recomendaciones del veredicto y las recomendaciones realizadas sobre el problema. Normalmente incluidas en forma de URL, pueden ser fuentes diversas oficiales o extraoficiales, siempre que solventen el inconveniente. Las fuentes pueden ser: blogs, bases de conocimiento, artículos sin sabor, manuales técnicos, pruebas de rendimiento, etc.

—————– sketch ———————

Referente a la Metodología PEA.

[Howto] Crear certificado de seguridad autofirmado

Hola lectores!

La semana pasada me llegó un requerimiento para generar un archivo CSR (Certificate Signing Request) para la creación de un certificado de seguridad, y pues bien, hoy me doy a la tarea de explicar paso por paso la creación del mismo incluyendo las llaves y todo lo que se tiene que generar.

¿Para qué nos sirve un certificado de seguridad?

Los certificados de seguridad son una medida de confianza adicional para las personas que visitan y hacen transacciones en su página web, le permite cifrar los datos entre el ordenador del cliente y el servidor que representa a la página. El significado más preciso de un certificado de seguridad es que con él logramos que los datos personales sean encriptados y así imposibilitar que sean interceptados por otro usuario. Ahora es muy común ver en nuestros exploradores el protocolo de seguridad https; mediante éste, básicamente nos dice que la información que se envía a través de Internet, entre el navegador del cliente y el servidor donde está alojada la página, se encripta de forma que es casi imposible que otra persona reciba, vea o modifique los datos confidenciales del cliente.

En el mundo de Internet, toda comunicación cifrada el certificado debe ser firmado por una Entidad Certificadora Autorizada (CA) que nos garantiza que el servidor donde está alojada la página es quien dice ser. En algunas ocasiones, es necesario crear certificados auto-firmados para realizar pruebas o para montar servidores internos.

Con un servidor Unix/Linux y con el programa OpenSSL es muy fácil y rápido crear este tipo de certificados.

Pues bien, ahora que ya leímos algo de teoría pasemos a la creación del certificado:

  1. Generar la llave privada.Una de las tantas bondades de OpenSSL es el poder generar una llave RSA privada y un archivo CSR, pero también nos sirve para crear los certificados autofirmados que por lo regular son utilizados para uso interno o para realizar pruebas.
    El primer paso es crear la llave privada RSA. Esta clave es de 1024 bits que se cifra utilizando 3-DES y se almacena en formato PEM para poder ser leído en formato ASCII.

    openssl genrsa -des3 -out server.key 1024



  2. Generar un CSR.
    Ahora que tenemos creada la clave privada procedemos a generar un archivo CSR (Solicitud de firma de certificado, por sus siglas en inglés).  Este archivo tiene 2 utilidades, la primera, enviarlo a una entidad certificadora como Verisign o Thawte, quienes validarán la identidad del solicitante y generarán un certificado firmado; y la segunda, es la de auto firmar el CSR, que es lo que explicaremos más adelante.
    Durante la generación del archivo CSR, se solicitarán ciertos datos informativos que serán los atributos X.509 del certificado.
    Uno de los campos que se solicitan el es “Common Name”, en este campo es muy importante poner el nombre del dominio del servidor que va a ser protegido por SSL. Como ejemplo, si el sitio va a ser https://secure.csimx.net, en el campo se pondría secure.csimx.net.
    El siguiente comando muestra como generar el archivo CSR

    openssl req -new -key server.key -out server.csr

  3. Borrar la contraseña de la clave.
    Un desafortunado efecto secundario de la transmisión de una clave privada con contraseña (passphrase) es que Apache o el servidor web en cuestión te pedirá la frase cada vez que se inicie el servidor web. Esto no siempre es conveniente, sobretodo si el servidor se reinicia automáticamente. Las propiedades mod_ssl  de Apache incluye la capacidad de utilizar un programa externo en lugar de escribir la frase a mano, sin embargo, esto no es necesariamente la opción más segura. Es posible eliminar el cifrado 3-DES de la clave para que no sea necesario escribir una clave. Eso sí, si la clave privada ha dejado de estar cifradas, ¡es fundamental que este archivo sólo pueda ser leído por el usuario root!. Si un tercero obtuviera la clave privada sin cifrar, el certificado correspondiente deberá ser revocado. Para quitar la frase de paso de la clave, utiliza el siguiente comando:

    cp server.key server.key.org
    openssl rsa -in server.key.org -out server.key

     

  4. Crear el certificado autofirmado.
    Si todo lo anterior se llevó a cabo, en este punto podemos crear el certificado autofirmado. Este certificado marcará error en el navegador del cliente ya que la entidad certificadora es desconocida y no confiable.El siguiente comando muestra como generar el certificado con una validez de 1 año.

    openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

  5. Instalar la clave privada y el certificado en el Apache.
    Cuando se instala Apache con mod_ssl, se crean diversos subdirectorios de configuración dependiendo donde y como se configuró e instaló apache.

    cp server.crt /usr/local/apache/conf/ssl.crt
    cp server.key /usr/local/apache/conf/ssl.key

  6. Configurar los Virtual Hostscon SSL.

    SSLEngine on
    SSLCertificateFile /etc/apache2/conf.d/ssl.crt/server.crt
    SSLCertificateKeyFile /etc/apache2/conf.d/ssl.key/server.key
    SetEnvIf User-Agent “.*MSIE.*” nokeepalive ssl-unclean-shutdown
    CustomLog logs/ssl_request_log \
    “%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”

  7. Reiniciar apache.

    service apache2 restart

  8. Probar.

    https://secure.csimx.net

 

 

Visto en www.hackplayers.com

Intitulado.

Cuiden su información, puede llegar a ser apercibida por un puños y desatar una invasión de inmigrantes ilegales.

K.

Fase II: De la ejecución. De los procedimientos. Parte II.

Hay en desarrollo una nueva metodología dedicada a ITIL de nombre clave PEA. Derivada como corriente secundaria al método empírico, se apoya en diversos procedimientos estadísticos, lógicos, matemáticos y literarios de forma conjunta tanto para generar los procedimientos aplicables a la resolución de problemas así como para poder desarrollar una definición de procedimientos operativos de diversos ambientes informáticos.

A pesar de que ha sido creada para ser integrada a las herramientas de ITIL, ésta metodología es universal y puede aplicarse a cualquier ambiente heterogéneo donde exista la capacidad de desarrollar un procedimiento.

Una vez liberada, será publicada en los medios masivos, por lo que recomiendo a todos aquellos interesados suscribirse a éste recurso y se mantenga a la expectativa de la liberación de la metodología.

K.

Conceptos de Seguridad que debes conocer

Alguna vez haz escuchado cosas raras como ¿Agujero de Seguridad? o ¿Malware? o ¿Análisis de Vulnerabilidades? ¿PenTest? etc??

Bueno, vamos a presentar unos cuantos conceptos que siempre debes tener en la mente:

  1. ¿Qué es un análisis de vulnerabilidades?
    Un análisis de vulnerabilidades es un estudio en busca de debilidades que se realiza a una infraestructura y/o aplicación de manera controlada y con pleno concentimiento del cliente.
    El objetivo principal es asegurar que no está expuesta a un atacante y así poder mantener la disponibilidad, confidencialidad e integridad de la información.
  2. ¿Qué es Malware?
    Es un software malicioso que su objetivo es dañar y/o infiltrarse en equipos computacionales sin el concentimiento de su propietario.
  3. Qué es un agujero de seguridad?
    Es una debilidad en un sistema que puede ser aprovechado por un atacante para violar la seguridad del mismo.
  4. ¿Qué es un troyano?
    Es un tipo de malware que se presenta al usuario como un programa legítimo pero que al ejecutarlo causa daños en los equipos y sistemas. En la mayoría de los casos abre puertas traseras permitiendo a un atacante manipular y tomar control del equipo.
  5. ¿Qué es un certificado de seguridad?
    Es un tipo de seguridad que brinda confianza al usuario cuando realiza transacciones por internet, normalmente económicas o con información sensible. Está diseñado para cifrar toda la información que pasa ente el cliente y el servidor y que no sean interceptados por algún otro usuario. Podemos identificar este tipo de servicio en nuestro navegador cuando la barra de navegacion tiene https:// como son los bancos, Facebook, gmail, entre otras páginas.
  6. ¿Qué es una auditoría de seguridad?
    Es un estudio realizado por profesionales de seguridad informática que pretende el análisis de sistemas para evaluar, identificar, enumerar y describir las diferentes vulnerabilidades que pudieran presentarse en una revisión de servidores, redes y equipos de computo.
  7. ¿Qué son las APT – Advanced Persistent Threat (Amenaza Avanzada Persistente)?
    Son un tipo de malware que se encargan de atacar principalmente entornos corporativos o políticos. La principal característica y por lo que sobresale, es por su alta capacidad de esconderse/ocultarse, por lo que es muy difícil deshacerse de ellas.
  8. ¿Qué es una prueba de Penetración?
    Es una evaluación activa de las medidas de seguridad de la información. El objetivo del PenTest es detectar puntos débiles que pueden ser utilizados por un atacante para violar la seguridad de los sistemas. Durante el PenTest se busca explotar las debilidades simulando ser un atacante para obtener información relevante pero SIN DAÑAR la información, sistemas e infraestructura.

Gracias por leernos, espero dejarles un poco más claro estos conceptos y que les sean de utilidad más adelante.

 

Saludos! }x)

Volver a arriba
 

Powered by FeedBurner

Enter your email address:

Delivered by FeedBurner