martes, 30 de diciembre de 2014

2014 termina !!!

Amigos navideños de Inseguros !!!

Se acerca el fin del año 2014 y quiero compartir un ratico de reflexión con vosotros, amigos que me leéis y seguís, o simplemente defectos en el motor de Google que me trae visitas xD.

Este año en lo personal ha sido bastante movido para mi. Que haría yo sin mi familia !!! Esas personas que soportan tener a un loco informático invirtiendo su tiempo libre en escribir artículos de dudosa calidad :-) Los gatos me apoyan a diario, o mejor dicho, se apoltronan en el portátil cual virus molesto, pero que les voy a hacer, han salido con la vena tecnológica.


El año 2014 empezó con una aventura laboral digna de los tiempos egipcios, esclavitud, maltrato, jornadas de 14 horas, sueldo que apenas llegaba para comprar el pan. Se reflejó este trimestre en la actividad del blog, 5 artículos en 3 meses. Menos mal que le pegue fuego a esa relación. Un trabajo penoso en el que si inviertes tu tiempo, estás tirando tu tiempo a la basura. Nunca Mais !!!

Tras la incorporación a la cola del INEM el ritmo de artículos creció. No he llegado al ritmo del año pasado, pero recuerda que Inseguros lo escribimos los dos pelones de la foto de arriba, y personalmente, creo que los post han madurado en cuanto a redacción y a técnicas descritas.

Los post que más me han gustado han sido:


No me puedo olvidar de los recopilatorios sobre los libros que me interesan. Las técnicas para realización de test de penetración, y sobre todo, el nuevo recopilatorio sobre medidas defensivas.

Espero que estos artículos sean los que más visitas tengan, ya que son recursos muy útiles para aquellos que "juegan" con la seguridad, que se inician, y tienen un repositorio en castellano para solventar muchas de las dudas.

En la parte de "Social Media" estoy más que orgulloso !!! No solo mantengo el ritmo de visitas y seguidores, sino que estos crecen. Gracias como siempre a mis amigos de las redes sociales que me animan en esos momentos duros, con un RT, un comentario o cualquiera de las bromas que llevamos a medias. Roberto Garcia, Doctor Bug, Miguel Angel, Pedro Sauron, Sniferl4bs Hackplayers  Arturo y todos los demás.

GRACIAS DE CORAZON !!!!!

Como es normal, y estáis viendo, se acumulan las predicciones de seguridad para el 2015. Más lejos de todo lo que leo, me quedo con unos cuantos consejos básicos, que bajo mi punto de vista, abarcan las medidas de seguridad básicas para pymes:


  • Actualiza tus sistemas. Crea una alarma en el calendario una vez a la semana para revisar tus updates.
  • Cambia tus contraseñas de vez en cuando.
  • No publiques hacia Internet tus demos, pruebas, etc. Todo lo que subes en Internet está disponible, por mucho que cambies puertos.
  • Revisa los logs. Pregúntate si sabes si te están atacando, y comienza el camino de la reflexión sobre qué grado de control tienes sobre tus sistemas. Poco a poco incluye más sistemas. Empieza por el Firewall.
Ves que consejos? No hablo de Spear Phising, RFI, SQLi, Zero Days, DDOS, ni todas esas cosas que leemos en los medios. Comienza a construir tu castillo de seguridad pasito a pasito.

Por último, os deseo unas buenas fiestas, un buen año laboral, familiar. Que el dinero inunde vuestra vida, o al menos, encontréis una vida que no necesite tanto dinero.

Gracias por leerme AMIGOS !!!!



lunes, 29 de diciembre de 2014

OSSIM 22. Integración de cuentas Ossim-Active Directory.

(1234567 , 89 101112 1314.,15, 16 ,17 18, 19,20,21 )

En el capítulo de hoy de Inseguros dedicado a Ossim, el software libre de Alien Vault para SIEM,
vamos a integrar la autenticación de cuentas del portal con nuestro servicio de directorio, en este caso, Active Directory.


La idea es sencilla, creamos un usuario local en Ossim, con el mismo nombre de usuario que la cuenta en Active Directory, e integramos la gestión de contraseñas con AD.

En primer lugar vamos a crear nuestro usuario local en Ossim.


También vamos a crear un usuario en nuestro Active Directory con permisos para poder ofrecer este usuario a OSSIM para tener un contexto de seguridad válido para "preguntar" al servicio de directorio sobre las cuentas.

Una vez creado, procedemos a configurar la integración.


Para hacer más fácil la configuración, nos vamos a apoyar de la herramienta Active Directory Explorer de Sys Internals para identificar los nombres de objeto correctamente.

Los datos de conexión serán la IP de nuestro Domain Controller, el usuario y password? el que hemos creado en Active Directory para poder consultar el directorio.


Si nos aparece el árbol de AD, es que todo va bien. XD.



Mediante estos pasos hemos localizado el DN (Distinguished name) de la cuenta creada. Copiamos hasta los datos de dominio. "CN=OSSIMservices,CN=Users,"

Con estos datos, la configuración en OSSIM para la integración quedaría tal que así.


Ahora solo nos queda hacer un log-out e iniciar la sesión en OSSIM con nuestras credenciales de Active Directory.

Espero que os guste y os sirva de ayuda.

Gracias por leerme !!!








martes, 16 de diciembre de 2014

Salidas para Nmap

En este artículo rápido os voy a mostrar algunas de las opciones que uso para tratar la salida de nmap en mis escaneos diarios.

Es evidente la necesidad de ordenar un poco la salida del comando, y mucho más, cuando escaneas rangos amplios de red, que el copy&paste deja de ser viable.

No "son míos" es decir, son mis apuntes sacados de Internet, que los he pasado del papel al blog.
Espero que os gusten, y sobre todo, animaros a publicar vuestras salidas preferidas para incorporarlas.


Comando para ejecutar un escaneo rápido, solo ping. Yo lo uso en auditorías de sistemas o inventario, simplemente para saber que equipos están "on line" en un momento dado.

nmap -sn -oG - IP | grep Host | awk '{print $2","$5","$3}'


Uno de los scripts que suelo usar para enviar a un csv, solo la información que necesito es NMAPTOCSV 

Ejecutamos el scan y le pasamos el resultado.
nmap -sV -p- IP -oN - | python nmaptocsv.py >salida.csv


Si necesitas extraer solo el puerto, la ip, puerto-ip-servicio, etc. puedes configurar los campos de la salida.


Si quieres buscar solo las salidas del sV que contenga, por ejemplo, Apache, podemos añadir | grep -i apache. Con la i le indicamos que no distinga entre mayúsculas y minúsculas.

Gracias por leerme  !!!!


viernes, 12 de diciembre de 2014

Todo sobre las Cookies. Legal y técnico. by @c0ntrozo

En la entrada de hoy de Inseguros os traigo un recopilatorio sobre Cookies que tiene publicado el señor Alejandro Martínez @mrt1n3z propietario de astu4.blogspot.com.es en google docs.
Es un trabajo para un proyecto concreto, pero considero que abarca desde las leyes hasta algunos consejos técnicos.

Espero que os guste !!!




C O O K I E S
jurídico y técnico ,
Legal :
En este apartado se recoge una selección de la normativa aplicable en materia de cookies junto a los informes jurídicos, las resoluciones y las publicaciones más relevantes realizadas por la Agencia Española de Protección de Datos sobre esta materia, así como documentos de interés elaborados por las Autoridades Europeas de protección de Datos (GT29).
  1. Legislación

  1. Guías y publicaciones

  1. Informes Jurídicos

Tecnico 
los otros : ejemplos  Facebook y macromedia flash config en local_remoto
A partir de un reciente informe de la Universidad de Berkeley:
Más de la mitad de los principales sitios web de Internet utilizan una capacidad conocida  de Adobe Flash plug-in para rastrear a los usuarios y almacenar información acerca de ellos, pero sólo cuatro de ellos mencionan los llamados cookies de Flash en sus políticas de privacidad.

Bajo la dirección de Chris Hoofnagle de los Programas de Información de Privacidad del Centro Berkeley para la Ley y la tecnología, los investigadores descubrieron que la mayoría de los usuarios de Internet no están familiarizados con las cookies de Flash y que las cookies web en Flash no se pueden controlar a través de los controles de privacidad de cookies=galletas en un navegador.
Aún más interesante fue el uso de las cookies de Flash para 're-spawn "o traer de vuelta a la vida las cookies del navegador tradicionales que habían sido eliminados en las computadoras de los clientes. En el estudio se encontraron incluso varios sitios web del gobierno con “ flash información ID cookie”. El gobierno tiene una política de prohibir el uso de las cookies del navegador tradicionales.

¿Qué es todo este alboroto? Sitios web de Internet a menudo se adhieren al espacio que en memoria ocupa el navegador y forman cadenas de cookies' ,con la identificación de texto y números en  su ordenador para ayudar a llevar , mejorar controlar la cuenta de usuario y sus preferencias al visitar sus sitios.
En teoría, esto es una conexión útil entre usted y los sitios web que visita. Por ejemplo, un vendedor de libros en línea podría almacenar su cliente preferencias información para ofrecerle una ayuda a encontrar lo que quiere y que sea más fácil para hacer sus compras.

Sin embargo, como muchas cosas buenas y útiles en la web, las cookies del navegador han resultado ser una vía para que los ladrones de identidad puedan  encontrarnos  y con ello nuestra información personal.
Una cookie que nadie conoce y que no se puede controlar a través de nuestros navegadores web, y se puede utilizar para volver a “desovar” reenganchar todas las cookies del navegador...

Removiendo las Cookies Actuales
Resulta que, Adobe tiene un Administrador de configuración en su sitio donde se puede controlar cómo las Flash cookies se almacenan junto con otras cosas. Si hace clic en un pedazo de código de Flash en tu navegador puede seleccionar "Configuración" y llegar a este lugar especial. O puede simplemente haga clic en nuestro enlace a mano:

Lo que usted debe ver algo como esto:

  1. Flash Cookie Removal Tools

Windows:
Mac OS X:
  1. Flash Cookie Storage Locations

Siempre se puede ir al directorio donde se almacenan las galletas y eliminarlos manualmente. No es una solución permanente - nuevas cookies serán creadas en el futuro - pero funciona.
Windows:
LSO files almacenados tipicamente con “.SOL” extension, dentro de cada  user’s Application Data directory,
bajo la ruta  Macromedia\FlashPlayer\#SharedObjects.
Mac OS X:
For Web sites, ~/Library/Preferences/Macromedia/FlashPlayer. For AIR Applications, ~/Library/Preferences/[package name (ID)of your app] and ~/Library/Preferences/Macromedia/FlashPlayer/macromedia.com/Support/flashplayer/sys
GNU-Linux:
LSO files are stored in ~/.macromedia.# grep | more
kali book ,maquina para laboratorio pruebas y analisis


análisis de los tránsitos de red
RFCs lecturas previas ,
HTTP Cookies: Standards, Privacy,and Politics DAVID M. KRISTOL Bell Labs, Lucent Technologies
Recommended comprehensive Flash-cookie article (topic: UC Berkeley research report)http://www.wired.com/epicenter/2009/08/you-deleted-your-cookies-think-again/

Wikipedia LSO information:
http://en.wikipedia.org/wiki/Local_Shared_Object

See what Google finds:
http://google.com/search?q=flash-cookie+super-cookie
recomendamos addons firefox antirastreo

Mejor Privacidad
sirve para proteger contra las cookies de largo plazo especiales, una nueva generación de 'Super-Cookie', que en silencio conquistaron Internet.

Flash-cookies (objetos compartidos locales, LSO) son piezas de información ubicados en su ordenador por un plug-in Flash. Esos Grandes cookies son colocados en las carpetas del sistema central. Se utilizan con frecuencia como las cookies del navegador estándar. Aunque su potencial hilo es mucho mayor como de galletas convencionales, sólo unos pocos usuarios empezaron a tomar nota y estudiar y analizar llegando a conclusiones ...

BetterPrivacy permite listar y gestionar Flash-galletas, por ejemplo, para eliminar los objetos automáticamente en el arranque del navegador, salida del navegador o por una función de temporizador configurable mientras que ciertas cookies de Flash deseados ,pueden ser excluidos de la eliminación automática.
Así que esta extensión se convierte en una especie de "instalar y olvidar add-on". Por lo general, la eliminación automática es seguro (sin impacto negativo en su navegación), sobre todo si se activa el temporizador de supresión.
El temporizador puede retrasar la eliminación automática para los nuevos o modificados en Flash cookies que puedan estar en uso. También permite eliminar aquellos objetos de inmediato si se desea. Los usuarios que deseen gestionar todas flash-cookies manualmente pueden desactivar las funciones automáticas o excluir determinados Flash-cookies de eliminación automática.

Flash en cookies (LSO) propiedades ..
- Nunca expiran - permanecer en el equipo por un tiempo ilimitado.
- Por defecto ofrecen un almacenamiento de 100 KB (comparar: cookies Usual 4 KB).
- Navegadores no son plenamente conscientes de LSO, a menudo no se pueden mostrar o gestionados por los navegadores.
- A través de Flash que pueden acceder y almacenar información personal altamente específica y técnica (sistema, nombre de usuario, archivos, ...).
- Capacidad de enviar la información almacenada en el servidor adecuado, sin el permiso del usuario.
- Aplicaciones Flash no necesitan ser visibles
- No hay manera fácil de decir que los sitios de Flash en cookies que están rastreando.
- Carpetas compartidas permiten el seguimiento de cross-browser, el trabajo de LSO en cada aplicación flash habilitado
- La empresa de Flash no proporciona una manera fácil de usar para gestionar LSO, De hecho, es increíble engorroso.
- Muchos dominios y empresas de rastreo hacen un amplio uso de Flash-cookies.
Este tipo de cookies no es inofensivo.
IMPORTANTE
Si usted realiza SUPRESIÓN DE LSO,ENTONCES - la información almacenada como AJUSTES DE JUEGO O DATOS LOGIN Se pueden perder!
 ASEGURESE DE haber  excluido estos, según sus necesidades



Contact
IRC channel is #lightbeam on irc.mozilla.org.
GitHub: https://github.com/mozilla/lightbeam 

Referencias a herramientas relacionadas con el analisis dinamico de cookies
https://www.snort.org/ 
sourceforge.net/projects/sarg
www.ntop.org 
sourceforge.net/projects/networkminer 
https://www.owasp.org/index.php/Category:OWASP_Download 
www.telerik.com/fiddler 
https://www.wireshark.org/








#Privacidad 
http://www.eprivacidad.es/tag/datos-personales/
http://www.samuelparra.com 



jueves, 11 de diciembre de 2014

Resilience Evil.

En el artículo de hoy de Inseguros os paso el enlace del nuevo post escrito para Eset España sobre el concepto Resilience y un poco de nociones básicas sobre la detección de ataques. espero que os guste.

http://blogs.protegerse.com/laboratorio/2014/12/11/resilience-evil-me-han-hackeado/


Gracias por leerme

martes, 9 de diciembre de 2014

Ingeniería Social. El pequeño Nicolás.

Amigos de Inseguros, el post de hoy lo publico en el blog de nuestro partner de seguridad Eset España.



El pequeño Nicolás. Ingeniería Social.

Espero que os guste !!!
Gracias por leerme !!!

lunes, 8 de diciembre de 2014

Nuevo recopilatorio en Inseguros. Medidas defensivas. Ayúdame !!

Amigos de Inseguros.

Durante mucho tiempo llevo pensando el crear un apartado en Inseguros en el que recopilar todos los artículos de seguridad que escribo en el blog, pero aquellos que puedan servir a un administrador de seguridad para fortificar sus sistemas.

Podéis ver la nueva sección en el blog, con artículos "defensivos" mios y sobre todo, los que leo por la comunidad de blogueros de habla hispana.

Espero que os gusten los artículos, y sobre todo, que si tenéis blogs o artículos que consideráis oportunos recopilar, me los hagáis llegar al hotmail de kinomakino.

A este recopilatorio le sumamos ya los que están en marcha, el recopilatorio de artículos sobre auditorías de seguridad y pentesting, el recopilatorio de los libros de seguridad y sistemas que voy viendo publicados y me interesan, y otro recopilatorio más de los artículos "Microsoft".

Gracias a todos por el aliento que me dais para seguir con esta aventurilla del blog Inseguros.

Felices fiestas !!!


miércoles, 3 de diciembre de 2014

SharePoint gratuito, comparte tus fotos de gatitos en la empresa.

Como todos sabéis, o deberíais, soy un administrador de sistemas. Soy de los que me gusta prohibir Facebook a los empleados, y restringirles las cuotas de disco para que no almacenen muchas fotos de gatitos en los extremadamente caros discos duros empresariales.

Me consta por lo que hablo con mis amigos del mundo de la seguridad, que Sharepoint es un desconocido para muchos. Ya sabes, esos administradores de Linux que invierten el día en programarse sus rutinas, en vez de darle a los clicks, o ahora con el dedo !!!! :-) es broma.

Si es cierto que encuentro empresas en las que una solución de este tipo les proporcionaría ciertas mejoras, y que no se implementan por desconocimiento.

En esta artículo os voy a guiar sobre el proceso de configuración básica de Sharepoint para un ambiente de red local.


Lo primero de todo, ¿què es Sharepoint?. Se denomina plataforma de colaboración empresarial. Podemos decir que es un sistema para la creación de sitios web. La diferencia con cualquier otro CMS son los plugins o complementos. Los complementos, aunque los hay de todo tipo, se orientan al mundo empresarial, a la colaboración empresarial. Por supuesto, otra ventaja es su integración con Active Directory para la gestión de usuarios.

Pongamos un caso, el directorio de personal. En organizaciones en las que se implementa Exchange suele ser buena costumbre crear una agenda de contactos organizada, en la que se tiene en el cliente Outlook una lista de nombres, teléfonos, extensiones, dirección de email, departamento, foto...

En una Pyme de entre 50/150 empleados, en la que todo el mundo se conoce, pero con el tiempo se abren oficinas remotas, comerciales, colaboradores, el papel con el teléfono de los compañeros es poco útil. Ofrecer a tu organización un espacio común, gratuito, en el que publicar la información, esta bien !!!

Para las empresas en las que el Social Media es importante, tener un punto común de recursos web centralizado, donde los empleados puedan seguir las actividades de su misma u otra empresa, tambien me parece interesante y lo suelo implementar.

Otro caso muy usado es la gestión documental. Podemos usar nuestros clientes Office, es decir, el Word, para publicar contenido en Sharepoint. Se configura una ruta en cada cliente, y el usuario por defecto almacenará todos los documentos en el portal de la empresa, bajo la opción que le indiquemos.


Mi experiencia con las carpetas compartidas es que el usuario "maneja" su parcela de información. Si necesita un documento de otro departamento, llamará al usuario para pedírselo, o quizás, queden a la orilla de la máquina del café para compartir el archivo :-)  A esto hay que sumarle los permisos de usuarios y grupos que pueden no ser los más adecuados para el trabajo colaborativo.

Otra tontería pero útil en algunos sitios, es un calendario compartido de departamento. Saber qué visitas tiene un compañero, que inspecciones tenemos esa semana, eventos y demás, pues también está bien, insisto, es gratuito !!!

Vale, se que me conocéis. ¿Gratuito? . La versión Foundation 2013 si lo es. En versiones anteriores los que terminaban en Services eran gratuitos, y los servers de pago.

Vamos a ponerlo en marcha y así podemos practicar con algo.

Necesitas un Windows Server al menos.

• Microsoft .NET Framework 4.5
• Windows Management Framework 3.0
• Rol Servidor de aplicaciones, Rol Servidor web (IIS)
• Microsoft SQL Server 2008 R2 SP1 Native Client
• Microsoft Sync Framework Runtime v1.0 SP1 (x64)
• Windows Server AppFabric
• Extensiones de Microsoft Identity
• Microsoft Information Protection and Control Client
• Microsoft WCF Data Services 5.0
• Microsoft WCF Data Services 5.6
• Paquete de actualización acumulativa 1 de Microsoft AppFabric 1.1 para Windows Server (KB2671763)

Lo bueno es que tenemos un icono para instalar todos los requisitos previos...
Tras varios reinicios para la configuración de los roles y actualizaciones, procedemos a instalar Sharepoint Foundation.


Podemos instalar los servicios de Sharepoint de manera distribuida, para tener una colección amplia de sitios web, distintas bases de datos, y otros servicios. Para este ejemplo, el de crear una Intranet básica para compartir información, vamos a realizar una instalación ALL-in-One.


Como en la televisión, por arte de magia, han pasado 60 minutos y ya está instalado, tachannnnnn.


Un pequeño paseo por las opciones de edición para configurar la foto y aspectos gráficos más sencillos.




Algunas configuraciones las vamos a tener que realizar desde la consola central de administración de Sharepoint. http://ip:42639/



El resultado podría ser este.



Si funciona en Linux...

Como podéis ver, el propósito de este post no es guiaros por la instalación, ni tan siquiera por la configuración, sino compartir con vosotros algunas de mis ideas, y sobre todo, animaros a probar Sharepoint. Se pueden hacer autenticas virguerías según los entornos en los que operes.

Espero que os guste, gracias por leerme !!!


martes, 2 de diciembre de 2014

lunes, 1 de diciembre de 2014

Auditoría IT. Parte 3. VmWare con Netwrix. Toda la información que necesitas en una ventana o correo.

Te gustaron los artículos uno y dos sobre Auditoría IT ?

En el episodio de hoy de Inseguros vamos a seguir con la serie de artículos dedicados a la auditoría IT con la herramienta Netwrix Auditor 6.5.


En esta ocasión, vamos a configurar en un sencillo procedimiento las opciones relativas a la monitorización de nuestros host VMware.

Tengo que destacar que este producto, Netwrix Auditor 6.5. , funciona perfectamente con las versiones ESXi es decir las gratuitas. No es necesaria la presencia de vCenter y su famosa API de comunicaciones, por lo que me parece un opción genial para monitorizar nuestras granjas de virtualización por un módico precio.

El proceso de recolección se realiza mediante una tarea programada. Se adquiere la información de los eventos del sistema Vmware, y se realiza un SnapShot del sistema para comprobar el estado de los objetos. De esta manera no es necesario acudir a la API de Vcenter que como todos sabemos es de pago.

Cabe destacar que en implementaciones de host ESXi sin vCenter, el almacenamiento de eventos del sistema se hace en memoria. Dependiendo de la memoria disponible y del número de eventos, tenemos que considerar establecer un proceso de recolección en Netwrix de entre 15/30 minutos. De esta manera nos aseguramos de no perder información por el límite de persistencia de eventos en versiones gratuitas de VMware.

El licenciamiento de esta herramienta, algo sobre lo que hemos hablado poco hasta la fecha, se realiza por componentes que queremos auditar en nuestro plan de auditoría IT.


Por ejemplo, este módulo para VMware sería una licencia específica, la cual incluye siempre como base la licencia de auditoría servidores Windows.

El proceso es muy sencillo.




Ahora es el turno de hacer una "recolección" programada para revisar la información que nos proporciona.

En primer lugar, como concepto de auditoría puro y duro, el sistema nos arroja una descripción detallada de nuestro inventario de máquinas virtuales, con todo tipo de detalles de configuración.
De la misma manera que nos detalla la configuración general del Hypervisor ESXi.



Voy a efectuar algunos pequeños cambios para ver si Netwrix Auditor 6.5. detecta la configuración.


Podemos apreciar que ha detectado:

  • Cambio de configuración de memoria en una máquina virtual.
  • Conexión de un dispositivo CD en una máquina virtual.
  • Máquina virtual encendida.
  • Máquina virtual encendida y tarjeta de red conectada.
No solo sabemos que ha pasado, sino cuando ha pasado, quien lo ha hecho, y podemos conservar el histórico de cambios en formato report amigable.


Como siempre, os recomiendo consultar toda la documentación oficial, como esta Quick Guide del producto, para realizar un correcto análisis de requisitos, hardware, software necesario etc.

Espero que os guste, y como siempre, gracias por leerme !!!


Related Posts Plugin for WordPress, Blogger...