Publicaciones Etiquetadas ‘Protocolos’

Mecanismos de defensa. Parte IV. (+Contenido anarcorijoso).

Eres quien eres y nadie más. Tu identidad es la unica pertenencia que es imposible que te sea removida de tu existencia incluso después del término de la misma. La existencia se puede referir en dos partes: presencia y trascendencia.

La presencia es el hecho de estar ahí, en este preciso momento, haciendo las cosas que tienes que hacer y pensando en lo que estás haciendo. La presencia por si misma es un estado existencial que es imposible eliminar. La presencia es demostrada con acciones cotidianas como ir por las tortillas o subirse al camión. Estás presente porque haces acciones y haces acciones porque estás presente.

La trascendencia es el hecho de permanecer aquí, ahí y allá, para siempre, siendo referencia de las cosas que se tienen que hacer, de la verdad absoluta, de las máximas de la existencia. La trascendencia es el estado existencial que permite que tu influencia se prolongue más allá de tus limites temporales. Que hagas sin hacer. Que estés sin estar. Que vivas sin vivir. Que existas sin existir.

Si bien, cualquier trascendencia tiene como requisito la presencia,  para lograr la primera es necesario romper los limites de la segunda. Salir del cuadro. Quebrar o deformar las reglas. Atreverte a lo que cualquier individuo se atreve, pero haciéndolo realmente.

Si bien las reglas se aplican para el común de la gente, existen individuos agraciados que pueden salir de las reglas, que pueden romperlas sin llegar a hacer daño al prójimo. Éstos individuos comúnmente denominados “liberales” o “revolucionarios” se encargan de recordarle al yugo de la opresión que siguen siendo individuos, libres y pensantes, que pueden reclamar en cualquier momento su presencia y abogar por su trascendencia, incluso en lugar de alguien más.

En estos días, esos individuos son perseguidos cual verdaderos criminales. Son menospreciados por sus gobernantes, son alejados de su línea presencial y son tomados por la peor[1] clase[2] de existencia[3] que pudiera haberse creado en cualquier línea de tiempo. Estos gobernantes olvidan que en algún momento alguno de sus antecesores realizaron las mismas acciones para que ellos mismos pudieran estar ahí, gobernando (y en algunos casos siquiera de manera presencial), consumiendo recursos que, si bien tienen la obligación de administrar, distan mucho de pertenecerles. A pesar de todo esto, se dan el lujo de considerarse a ellos mismos como seres agraciados que tienen la responsabilidad de decidir qué es bueno y qué es malo para quienes están “abajo” de ellos.

Ésta y miles de razones más siembran terror en los individuos y, eventualmente, cualquier intento de expresión de individualidad se ve amainado por la influencia del miedo. “Si dices algo, se volverán contra ti”. Y en ese preciso momento, tu individualidad ha cesado de existir.

TOR (The Onion Ring / Router / Realm) proporciona una alternativa de anonimato para todo aquel individuo que, preocupado por que el malvado yugo de la opresión le robe su identidad, su individualidad, pueda ejercer su derecho a expresarse y actuar (al menos de manera virtual).

TOR utiliza un protocolo de encripción llamado onion, por semejanza con las capas de la cebolla (y no hablo de la analogía de Shrek): tus datos se encuentran en el centro y, en cada salto que dan entre los servidores de la red onion, son cubiertos con una capa de encripción que utiliza llaves públicas y privadas. Adicionalmente, tu tráfico es “originado” en una dirección aleatoria: en un momento puedes estar en Praha y en el siguiente en Русся (la mágia del internet, bitch). De esta manera, se te permite expresar las inconformidades de tu presidente sin que te puedas perocupar por que éste pueda leer lo que piensas de él (actualmente nos encontramos en una investigación para confirmar o refutar la hipótesis de que sepa leer).

Nota al pie: hace algunos meses / dias / años, el dueño de freedomweb fue arrestado por tener almacenadas cantidades inconmensurables de archivos ilegales en sus servidores que servían como nodos de TOR (el gobierno asegura que se trata de illegal pr0n o cosas peores, como DVD’s pidatas y fotos de znewd4n en lingerie). Independientemente de lo que el gobierno piense, es una máxima que la illegal pr0n (y los DVD’s pidatas) es algo que se debe evitar, así como se debe eliminar a las personas que producen este tipo de contenido. Desgraciadamente personas de éste tipo existen en todos lados y TOR les proporciona el beneficio del anonimato que el resto de los individuos deberíamos estar disfrutando para causas nobles como derrocar a un presidente inepto o pedir que traigan las temporadas de Hell’s Kitchen a la television abierta.

Como muestro en otro lado, tú, individuo anónimo, te encuentras a la mitad de una lucha entre las clases “altas” y “bajas” de la sociedad. Estás sosteniendo el tejido social que permite que puedas seguir yendo a ver el futbol en el nuevo estadio que hicieron solo para ti, que hagas carne asada en la casa de tus suegros y que disfrutes esas latas rojas con un águila negra estampada que comúnmente sería confundida con orina de algún mamífero de mediano tamaño. Hablo de ese tejido que anteriormente te permitía dormir en el patio de tu casa o caminar a las 10 de la noche por el parque de tu colonia sin preocuparte de lo que les fuera a pasar a ti, a tu familia o peor, a tus barajitas de pokémon.

Sostienes ese tejido social que ahora está siendo utilizado como cuadrilátero de lucha libre por los extremos de las “clases sociales” para montar su trascendente drama impertinente. Desde las reformas que pretenden obtener mayores ingresos para los expresidentes, hasta la venta de tiempos compartidos en un volcán inactivo al centro de la República Mejicana, tú, ciudadano común (tal vez un poco simplón, pero nunca corriente), continuarás sometiéndote a los caprichos de aquellos campesinos oprimidos que se alzaron en armas contra la dictadura y que ahora se mantienen ganando mensualmente el equivalente a un año y medio de tu salario (antes de impuestos), incentivos de productividad, vales de despensa e intereses moratorios por la casa que terminarás de pagar en alrededor de un lustro, juntos. Y revueltos.

Dicen que un individuo cambia por una razón importante. Desgraciadamente esas razones comúnmente son negativas y siempre terminan jodiéndote la vida.

¿Cuánto tienes pensado soportar?

[Howto] Crear certificado de seguridad autofirmado

Hola lectores!

La semana pasada me llegó un requerimiento para generar un archivo CSR (Certificate Signing Request) para la creación de un certificado de seguridad, y pues bien, hoy me doy a la tarea de explicar paso por paso la creación del mismo incluyendo las llaves y todo lo que se tiene que generar.

¿Para qué nos sirve un certificado de seguridad?

Los certificados de seguridad son una medida de confianza adicional para las personas que visitan y hacen transacciones en su página web, le permite cifrar los datos entre el ordenador del cliente y el servidor que representa a la página. El significado más preciso de un certificado de seguridad es que con él logramos que los datos personales sean encriptados y así imposibilitar que sean interceptados por otro usuario. Ahora es muy común ver en nuestros exploradores el protocolo de seguridad https; mediante éste, básicamente nos dice que la información que se envía a través de Internet, entre el navegador del cliente y el servidor donde está alojada la página, se encripta de forma que es casi imposible que otra persona reciba, vea o modifique los datos confidenciales del cliente.

En el mundo de Internet, toda comunicación cifrada el certificado debe ser firmado por una Entidad Certificadora Autorizada (CA) que nos garantiza que el servidor donde está alojada la página es quien dice ser. En algunas ocasiones, es necesario crear certificados auto-firmados para realizar pruebas o para montar servidores internos.

Con un servidor Unix/Linux y con el programa OpenSSL es muy fácil y rápido crear este tipo de certificados.

Pues bien, ahora que ya leímos algo de teoría pasemos a la creación del certificado:

  1. Generar la llave privada.Una de las tantas bondades de OpenSSL es el poder generar una llave RSA privada y un archivo CSR, pero también nos sirve para crear los certificados autofirmados que por lo regular son utilizados para uso interno o para realizar pruebas.
    El primer paso es crear la llave privada RSA. Esta clave es de 1024 bits que se cifra utilizando 3-DES y se almacena en formato PEM para poder ser leído en formato ASCII.

    openssl genrsa -des3 -out server.key 1024



  2. Generar un CSR.
    Ahora que tenemos creada la clave privada procedemos a generar un archivo CSR (Solicitud de firma de certificado, por sus siglas en inglés).  Este archivo tiene 2 utilidades, la primera, enviarlo a una entidad certificadora como Verisign o Thawte, quienes validarán la identidad del solicitante y generarán un certificado firmado; y la segunda, es la de auto firmar el CSR, que es lo que explicaremos más adelante.
    Durante la generación del archivo CSR, se solicitarán ciertos datos informativos que serán los atributos X.509 del certificado.
    Uno de los campos que se solicitan el es “Common Name”, en este campo es muy importante poner el nombre del dominio del servidor que va a ser protegido por SSL. Como ejemplo, si el sitio va a ser https://secure.csimx.net, en el campo se pondría secure.csimx.net.
    El siguiente comando muestra como generar el archivo CSR

    openssl req -new -key server.key -out server.csr

  3. Borrar la contraseña de la clave.
    Un desafortunado efecto secundario de la transmisión de una clave privada con contraseña (passphrase) es que Apache o el servidor web en cuestión te pedirá la frase cada vez que se inicie el servidor web. Esto no siempre es conveniente, sobretodo si el servidor se reinicia automáticamente. Las propiedades mod_ssl  de Apache incluye la capacidad de utilizar un programa externo en lugar de escribir la frase a mano, sin embargo, esto no es necesariamente la opción más segura. Es posible eliminar el cifrado 3-DES de la clave para que no sea necesario escribir una clave. Eso sí, si la clave privada ha dejado de estar cifradas, ¡es fundamental que este archivo sólo pueda ser leído por el usuario root!. Si un tercero obtuviera la clave privada sin cifrar, el certificado correspondiente deberá ser revocado. Para quitar la frase de paso de la clave, utiliza el siguiente comando:

    cp server.key server.key.org
    openssl rsa -in server.key.org -out server.key

     

  4. Crear el certificado autofirmado.
    Si todo lo anterior se llevó a cabo, en este punto podemos crear el certificado autofirmado. Este certificado marcará error en el navegador del cliente ya que la entidad certificadora es desconocida y no confiable.El siguiente comando muestra como generar el certificado con una validez de 1 año.

    openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

  5. Instalar la clave privada y el certificado en el Apache.
    Cuando se instala Apache con mod_ssl, se crean diversos subdirectorios de configuración dependiendo donde y como se configuró e instaló apache.

    cp server.crt /usr/local/apache/conf/ssl.crt
    cp server.key /usr/local/apache/conf/ssl.key

  6. Configurar los Virtual Hostscon SSL.

    SSLEngine on
    SSLCertificateFile /etc/apache2/conf.d/ssl.crt/server.crt
    SSLCertificateKeyFile /etc/apache2/conf.d/ssl.key/server.key
    SetEnvIf User-Agent “.*MSIE.*” nokeepalive ssl-unclean-shutdown
    CustomLog logs/ssl_request_log \
    “%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”

  7. Reiniciar apache.

    service apache2 restart

  8. Probar.

    https://secure.csimx.net

 

 

Visto en www.hackplayers.com

Conceptos de Seguridad que debes conocer

Alguna vez haz escuchado cosas raras como ¿Agujero de Seguridad? o ¿Malware? o ¿Análisis de Vulnerabilidades? ¿PenTest? etc??

Bueno, vamos a presentar unos cuantos conceptos que siempre debes tener en la mente:

  1. ¿Qué es un análisis de vulnerabilidades?
    Un análisis de vulnerabilidades es un estudio en busca de debilidades que se realiza a una infraestructura y/o aplicación de manera controlada y con pleno concentimiento del cliente.
    El objetivo principal es asegurar que no está expuesta a un atacante y así poder mantener la disponibilidad, confidencialidad e integridad de la información.
  2. ¿Qué es Malware?
    Es un software malicioso que su objetivo es dañar y/o infiltrarse en equipos computacionales sin el concentimiento de su propietario.
  3. Qué es un agujero de seguridad?
    Es una debilidad en un sistema que puede ser aprovechado por un atacante para violar la seguridad del mismo.
  4. ¿Qué es un troyano?
    Es un tipo de malware que se presenta al usuario como un programa legítimo pero que al ejecutarlo causa daños en los equipos y sistemas. En la mayoría de los casos abre puertas traseras permitiendo a un atacante manipular y tomar control del equipo.
  5. ¿Qué es un certificado de seguridad?
    Es un tipo de seguridad que brinda confianza al usuario cuando realiza transacciones por internet, normalmente económicas o con información sensible. Está diseñado para cifrar toda la información que pasa ente el cliente y el servidor y que no sean interceptados por algún otro usuario. Podemos identificar este tipo de servicio en nuestro navegador cuando la barra de navegacion tiene https:// como son los bancos, Facebook, gmail, entre otras páginas.
  6. ¿Qué es una auditoría de seguridad?
    Es un estudio realizado por profesionales de seguridad informática que pretende el análisis de sistemas para evaluar, identificar, enumerar y describir las diferentes vulnerabilidades que pudieran presentarse en una revisión de servidores, redes y equipos de computo.
  7. ¿Qué son las APT – Advanced Persistent Threat (Amenaza Avanzada Persistente)?
    Son un tipo de malware que se encargan de atacar principalmente entornos corporativos o políticos. La principal característica y por lo que sobresale, es por su alta capacidad de esconderse/ocultarse, por lo que es muy difícil deshacerse de ellas.
  8. ¿Qué es una prueba de Penetración?
    Es una evaluación activa de las medidas de seguridad de la información. El objetivo del PenTest es detectar puntos débiles que pueden ser utilizados por un atacante para violar la seguridad de los sistemas. Durante el PenTest se busca explotar las debilidades simulando ser un atacante para obtener información relevante pero SIN DAÑAR la información, sistemas e infraestructura.

Gracias por leernos, espero dejarles un poco más claro estos conceptos y que les sean de utilidad más adelante.

 

Saludos! }x)

Concientización de usuarios ayuda a la seguridad

El termino concientizar o concientización toma parte de una acción educativa, que en los diferentes temas explica a los usuarios las cosas que son buenas y que son malas, poniendo como prioridad la enseñanza.

La seguridad informática es una temática que está teniendo una muy grande repercusión, más que nada en un equipo conectado a internet, que es el foco principal de propagación de malware. Para esto se han generado distintas políticas de seguridad, como por ejemplo la navegación con el protocolo HTTPS, para navegar en sitios que contengan o soliciten información personal, confidencial, o simplemente privada sin temer la pérdida, hurto o mal uso de la misma.

En un principio estas políticas eran utilizadas en sitios web bancarios entre otros, debido a los hurtos de datos de las tarjetas de crédito, y por ende, el robo del dinero. Luego, estas políticas de seguridad informática fueron aplicándose a distintos sitios, tales como redes sociales y servidores de correo por ejemplo:

Google +, la red social de google posee HTTPS, y es posible corroborarlo no solo con la URL, sino que también con el candado ubicado en la esquina inferior derecha:

Gmail, es el servicio de correo de google, el cual se presenta bajo este protocolo para una navegación segura:

Actualmente el buscador más conocido de todo internet posee su gran mayoría de prestaciones bajo el protocolo HTTPS, entre otras políticas, lo cual favorece al resguardo de los datos de los usuarios de estos servicios.

Actualmente existe un centro de seguridad familiar de Google, en el cual muestra, entre muchas otras funciones, la posibilidad de predeterminar una configuración para las búsquedas tanto en Google como en YouTube y así evitar que los menores de edad puedan acceder a sitios web o contenido ofensivo o inadecuado para su edad.

Este centro de seguridad familiar trata de concientizar la correcta utilización de los recursos en internet, para evitar tanto el mal uso de la misma, como la posibilidad de convertirse en objetivos de un ataque, siendo los niños los más vulnerables debido a su grado de desconocimiento acerca del tema.

Para poder generar un mayor porcentaje de protección ante las distintas amenazas es indispensable la concientización de los usuarios en conjunto con una actualización periódica de su software y contar con una solución antivirus con capacidad de detección proactiva, por esto es importante que lo usuarios de internet se asesoren acerca de las distintas problemáticas posibles para, por ejemplo, los menores que utilizan los equipos y así poder enseñarles cómo evitar comprometer la información y el equipo.

VIA ESETLA

De la precepción subjetiva segmentada del continuo espaciotiempo.

La medición es una adaptación humana de la naturaleza para poder segmentar y percibir de forma relativa y subjetiva el continuo espaciotiempo. El ser humano mide el tamaño de un edificio por sus pisos. El número de escalones que tiene que subir para llegar a su oficina. El tiempo que le toma preparar una taza de té. Intenta medir los tragos que ha tomado, así como el segmento de espaciotiempo restante para llegar a su destino y evitar amonestaciones.

La medición intenta cubrir la imperfección humana mediante una burda adaptación de la perfección de la naturaleza. Las perfectas revoluciones terrestres se comparan con los imperfectos días. Los perfectos y exactos ciclos planetarios son comparados con los imperfectos años.  La perfecta y exacta separación de las órbes celestes, se intenta comparar con los imperfectos kilómetros.

Dícese ser el tiempo el lapso que dura un evento bien definido desde su inicio hasta su fin, tomando como referencia la percepción colectiva del flujo del evento. Así el día puede “pasarse lento” por ser aburrido o, en ocasiones “falta tiempo” para terminar con las tareas asignadas de último momento.

El protocolo de horario de red (Network Time Protocol, NTP) es utilizado para mantener sincronizados los relojes de los sistemas operativos de los equipos que convivan en una red. Mediante el protocolo UDP a través del puerto 123, los equipos que tengan configurado un NTP Server obtendrán y mantendrán su hora/fecha con una exactitud de entre 100 milisegundos (v.g. Internet) hasta 200 microsegundos (LAN). Este protocolo es de conveniencia para ser utilizado en entornos donde sea requerido realizar auditorías de seguridad entre sistemas satelitales que funcionen en entornos cliente/servidor. Además de esto, es adecuado para realizar análisis post-mortem en redes o equipos que hayan sido sometidos a ataques y poder definir una línea de tiempo de las intrusiones y poder llegar al origen del ataque (y en ocasiones al atacante) de una forma un tanto más sencilla.

Existe un proyecto llamado NTP Public Services Project, quienes se encargan de mantener el servicio para sincronización de horario de red en internet mediante pools de servidores distribuidos a nivel mundial. En México, el horario de red es ámpliamente recomendado por el cenam, institución que cuenta con el servicio de NTP a través del servidor cronos.cenam.mx

Es “tiempo” de dormir.

K.

 

Curso de BackTrack 5 en Español

A C T U A L I Z A D O

Al principio del blog les hablaba de una distribución basada en Debian llamada BackTrack 5. Ayer navegando en la web me encontré en el blog de @DragonJAR un Curso de BackTrack 5 en Español el cual se me hizo muy interesante ya que en este primer video te explican muy bien desde cero las principales funcionalidades de BT5. A coninuación les dejo el primer video y el link para la descarga esperando que sea de su agrado y sobre todo les deje muy buena enseñanza.

 

CLASE 2

Seguimos con el curso de BackTrack en español; en este segundo video vamos a ver un poco sobre los siguientes temas:

  • Linux Networking (ifconfig, arp, dhclient, route)
  • Obtención de objetivos (whois, DNS, zenmap.
  • Un poco de Google Hacking.
  • Wireshark
  • El modelo OSI

CLASE 3

Para la siguiente sesión se van a tocar los siguientes temas:

  • Wireshark
  • NMAP
  • Arquitectura de Red

CLASE 4

Para la clase 4 vamos a aprender sobre los siguientes temas y herramientas:

  • IP’s y puertos
  • Sockets.
  • NetCat.
  • CryptCat.
  • Ncat.

En el video se explica un poco de como se conectan las computadoras, para que son los puertos, como funcionan, entre otros.

 

CLASE 5

En el siguiente video los temas a analizar son los que se mencionan:

  • Exploit.
  • Payload.
  • Shell.
  • Metasploit.
  • Metasploitable.

 

CLASE 6

En los videos pasados pudimos observar tecnicas y herramientas de ataque, en esta clase toca hablar de defensa.

 

CLASE 7

Hablemos un poco de Malware, Troyanos y Bind & Reverse.

 

Tan pronto esten listos los siguientes videos actualizaré la entrada.

 

Saludos

Volver a arriba
 

Powered by FeedBurner

Enter your email address:

Delivered by FeedBurner