miércoles, 30 de junio de 2004 1 comentarios
Mi primer post fotográfico




Como primer post en imagen, voy a añadir una de las siete maravillas del mundo, que además está construida con mi base de datos de fotos. Para ello, he usado un software de hacer mosaicos y como piezas, todas las fotos que he hecho con mi camara digital que son entorno a 5000.  Esta imagen que a simple vista es la esfinge de Gizeh, pero dentro almacena mis mejores recuerdos de estos ultimos años.

Posted by Hello
Aires nuevos

Esta tarde ha sido bastante productiva en la mejora de mi blog. Además de haber seleccionado un mejor estilo y diseño, he añadido funcionalidades que espero me aporten cosas en el futuro.
Las dos principales novedades son:
1.- Estadisticas de visita del web
2.- Comentarios de los artículos

Estoy evaluando la posibilidad de incorporar fotografías a los post para así terminar de cerrar el circulo y tener un blog muy completo.

A ver si hay suerte y esta noche consigo postear mi primera foto.
0 comentarios
Bastionando un equipo PC con Windows XP

El consejo de ayer era sobre como bastionar un equipo portatil con Windows XP y hoy me he encontrado otro documento, del NIST Americano en donde proporciona un documento detallado sobre qué cosas relacionadas con la seguridad deben configurarse en un equipo PC.

Lo mejor de todo, es que el NIST proporciona los archivos template (.tmp) para realizar de forma automática estas configuraciones.

Las plantillas de seguridad son una de las grandes cosas desconocidas de Windows 2000, XP y 2003.

Microsoft dispone de una consola de seguridad que es capaz de analizar y configurar el estado de la configuración de la seguridad de un equipo. Estas configuraciones nos parametrizables en base a unos ficheros maestros o templates de seguridad. El NIST proporciona los suyos, pero creo que son utilizables por usuarios cualesquiera. En cualquier caso, siempre que se proporcionan templates de seguridad, nunca debe elegirse aquellos que proporcionen la máxima seguridad, puesto que estos templates modifican valores del registro.

NIST- Guías para la configuración de seguridad de Windows XP
martes, 29 de junio de 2004 0 comentarios
Bastionado de portátiles

Hoy he encontrado un enlace con un documento pormenorizado de los pasos a seguir para bastionar un portátil. El resultado de las acciones a realizar se basa en un pequeño análisis de las amenazas que puede sufrir un portatil.

Es bastante práctico y sencillo de seguir porque incorpora capturas de pantallas sobre qué opciones configurar.

Securing your laptop
viernes, 25 de junio de 2004 0 comentarios
Matar a los zombies

Leo hoy en el Diario el Mundo una infeliz idea que algunos grandes genios han pensado como una posible solución al Spam. En resumen, lo que persiguen es dejar fuera de la red a todos aquellos equipos PC que se transformen en zombies. Ya he comentado que significa ser un zombi en algún otro post. En este artículo tambien lo comentan pero de forma imprecisa. El texto del artículo indica "Así es como se conocen los ordenadores infectados por virus que, sin conocimiento del usuario, son utilizados para enviar 'spam'". En mi opinión, PC zombie es todo aquel que deja de ser gobernado por su poseedor. No tiene por que ser infectado por un virus o no tiene porque ser utilizado para enviar spam. Uno puede hacer zombie un equipo instalando rootkits o troyanos sobre el mismo, realizando una intrusión y dejando algún acceso oculto, etc... y además, el generar spam no es solo la única maldad para la que son utilizados estos equipos. También participan en ataques de denegación de servicio distribuido, son utilizado como paso intermedio en un proceso de intrusión, o son utilizados en ataques como armas de guerra...

Matizado este hecho, vamos a la esencia de la noticia. Como diría un paisano de mi tierra, "¡Manda güevos!". O sea, al final el culpable siempre es el usuario.
1.- Los fabricantes hacen software con fallos de seguridad
2.- No se informa y forma al usuario en conocimientos de seguridad informática
3.- Se permite el uso y disfrute de la tecnología informática sin ningún tipo de restricción
4.- No se proporcionan mecanismos de actualización transparentes y gratuitos ... y encima, el usuario es el culpable??

Como siempre, estas cosas se ven más claras con similes con otras áreas o realidades. Utilizaremos el tan usado ejemplo de la industria del automóvil.

Lo propuesto por estos genios de retirar los PC Zombies sería lo mismo que retirar el carnet de conducir a los conductores no preparados. Esto SI tiene sentido, pero claro, las premisas que se dan en el mundo de la ingeniería del automóvil no se dan en el mundo de la ingeniería de la informática.

1.- Los coches son diseñados con tiempo suficiente y ajustados a ciertas normas internacionales de seguridad. En informática existen estas mismas normas, como son los Common Criteria o ISO 15408.

2.- Tras las fases de construcción, los coches son probados y testeados con otras normas de calidad y seguridad que garantizan tanto la fiabilidad como la seguridad de los mismos, ANTES de ponerlos en CIRCULACIÓN.

3.- Al potencial conductor, se le forma en el uso del vehiculo, se le entrena en el desarrollo de las habilidades prácticas de la conducción y se exige el pasar un EXAMEN de conducción para demostrar tanto los conocimientos técnicos como las habilidades manuales en el dificil arte de la conducción. En informática estos hechos a día de hoy parecen impensables... Ni siquiera para los técnicos que administran equipos son requerídos estos requisitos... aqui informático es todo el mundo... sin establecer distinciones o jerarquías en base a los conocimientos en la materia.

4.- Todos los vehículos tienen garantías de fabricación, por lo que si se detectan fallos, los fabricantes están obligados a la reparación de los mismos de forma gratuíta. En el mundo del software... el tema de proporcionar los parches es libre y cada fabricante hace lo que le apetece cuando y como quiere.

En fin, más de lo mismo. O sea, interesa un usuario analfabeto técnicamente cuando el objetivo es la venta de un equipo con unas características técnicas muy superiores a las necesidades reales del mismo, pero se exige un usuario cualificado cuando ese equipo, que sale de fabrica de cualquier forma, se añade a la red de redes y se transforma en un peligro.

Está claro que los grandes genios de la seguridad ya se han dado cuenta de que el problema de la seguridad informática, debido a la globalidad, es cosa de todos. La unión es mucho más que la suma de las partes. Pero si de verdad se cree en este hecho, entonces la filosofía de trabajo debería de ser incorporar la seguridad desde el diseño o si no, facilitar seguridad embebida y transparente en los equipos, o sea, ANTIVIRUS GRATIS, FIREWALLS GRATIS y FORMACIÓN GRATIS. Si no, LOS USUARIOS SEGUIRÁN SIENDO VICTIMAS, NO CULPABLES.

La noticia original se recoge aqui:
Matar al zombie, una mala idea
martes, 22 de junio de 2004 0 comentarios
Spam y spyware, pronto irán de la mano

El futuro pinta cada vez más negro y el lado oscuro suele unir sus fuerzas siempre antes que los del lado bueno.

La noticia de hoy refleja este hecho. Parece que los spammers están incluyendo en sus mensajes aplicaciones y programas spyware. No detalla la noticia si es necesaria la colaboración del usuario para que este codigo malicioso se instale en el equipo del usuario, pero en cualquier caso, ya existían técnicas basadas en enlaces http ocultos en los mensajes para identificar direcciones ip que recibian mensajes de spam.

La noticia original puede leerse en:Spammers start to use spyware
lunes, 21 de junio de 2004 0 comentarios
Thinking like a hacker

Este documento relata paso por paso cómo actúa un hacker cuando está intentando lograr el acceso a un sistema objetivo. Lo interesante de este documento es que también describe para cada fase qué herramientas son las más utilizadas.
Thinking like a hacker
jueves, 17 de junio de 2004 0 comentarios
En estos días, el gran proveedor de acceso Akamai Technologies Inc. está sufriendo un ataque de denegación de servicio distribuida que está afectando al servicio de resolución DNS y cuyos efectos colaterales al usuario es que no puede resolver direcciones de Internet con lo que pierde el acceso a los diferentes sitios si desconoce la dirección IP de la página que desea visitar.

Entre los sitios afectados están Google, Microsoft, Yahoo.

Lo preocupante del hecho, es que este ataque se está produciendo desde equipos PC Zombies, que son normalmente PC de usuarios que han sido contaminados por algun software malicioso.
Estos equipos son cibersoldados preparados para el ataque y que obedecen ordenes del criminal que contamina el equipo.

La noticia viene recogida por ComputerWorld.Security experts ponder Akamai attack, defense
lunes, 14 de junio de 2004 0 comentarios
Los post de hoy están relacionados con la técnica del "Trashing" o busqueda de información en las papeleras. En nuestro caso, papeleras virtuales que son los cientos de Webs que nos permiten realizar test de seguridad sobre direcciones ip o dominios.

Desde esta Web, podemos averigüar el software que se utiliza por un dominio para dar soporte al Web. Identifica el servidor Web y el sistema operativo de la máquina, y lo más interesante, puede que liste un historico con los diferentes sistemas que se han sido utilizados.Netcraft - Search Web by Domain
0 comentarios
Hoy me he encontrado una herramienta muy útil creada por Foundstone que puede ser utilizada en dos sentidos:

-Como herramienta de seguridad desde el lado bueno, para comprobar que nuestros dominios no son vulnerables a las busquedas en Google. Esta herramienta busca las cadenas de sitios Webs mal configurados, que vienen descritas en el documento "The Google hacker's guide".

- Como herramienta de ataque, desde el lado malo, para buscar sitios webs vulnerables a los que atacar.

A todas las herramientas de seguridad en general, les ocurre igual. La herramienta en sí no es la amenaza, sino el uso que se le de.
Pero igual ocurre con un destornillador o un martillo.

Foundstone, Inc. Site Digger
0 comentarios
He decidido cambiar el titulo a mi blog para ajustar mejor los contenidos que estoy alojando con el titulo y la url de referencia.

Si bien mi objetivo inicial al crear el blog era y es ayudar en cuestiones de seguridad informática a usuarios, también quiero ampliar el alcance del Blog para dar cabida a temas más generales relacionados con la esencia del problema, la Seguridad de la información. Por tanto mi antiguo blog http://seguridad-para-usuarios.blogspot.com pasa ahora a ser http://seguridad-de-la-informacion.blogspot.com/, Apuntes de seguridad de la información.
jueves, 10 de junio de 2004 0 comentarios
Hoy he encontrado un documento interesante, en la misma linea de "conocer al enemigo". Este documento es bastante interesante porque comenta las fases que suelen usarse en un proceso de intrusión.
Thinking like a hacker



Existe una metodología Open Source para realizar auditorías de seguridad perimetral, y como se puede ver, en esencia son siempre las mias:
- Buscar rastros del objetivo a atacar
- Enumerar e inventariar los posibles puntos por donde atacar
- Obtener acceso a tráves de algun punto vulnerable
- Escalar privilegios para obtener más poder
- Instalar rootkits y troyanos en los sistemas

Logradas estas fases, seguramente ya eres el superusuario de las máquinas atacadas. Metodología para la auditoría de seguridad perimetral
martes, 8 de junio de 2004 0 comentarios
Microsoft parece que se ha tomado muy en serio los problemas de seguridad que sufre su sistema operativo y está tratando de paliar las amenazas potenciales desde varios puntos de vista. Estos van, desde cambiar la política de configuración por defecto para ahora no permitir nada frente al "permitido todo" que tantos disgustos nos ha traido, hasta concienciar y formar a sus empleados en metodologías para la programación segura.

El enlace de hoy nos desvela con qué estrategia debe pensar un diseñador su aplicación, para hacer frente a las posibles amenazas.

Como ya postee hace unos días, en "El Arte de la Guerra" de Sun Tzu, se deja bien claro que sin conocer a tu enemigo no es posible la victoria. Esta metodología, basada en OCTAVE, la metodología de Análisis de Riesgos para la Seguridad de la Universidad de Carnegie Mellon proporciona las claves para diseñar e implementar un programa pensando en todas los posibles tacones de Aquiles que un atacante podría explotar.

Security Developer Center: Modelado de amenazas
viernes, 4 de junio de 2004 0 comentarios
Aunque mi principal propósito a la hora de escribir este blog era y es, asesorar a usuarios con escasos conocimientos en seguridad informática para evitar posibles ataques y abusos por parte de los "chicos malos que conectan a Internet", siempre hay gente que hace un muy buen trabajo en la misma linea que lo que yo pretendo.

El enlace de hoy indica como "bastionar" un PC con Windows XP.

Aunque bastionar suena raro, es un término más adecuado que securizar, que por cierto, ni siquiera existe en el diccionario de la RAE. Hay que entender por bastionar, en el contexto de la seguridad informática, el "tranformar un equipo en un Bastión", o sea, fortificar o reforzar las defensas frente a potenciales atacantes. Para aquellos que sois profanos en la materia, esta guía es la más completa que he visto y cierra casi todos los frentes posibles de ataque, configurando todos los mecanismos que Windows XP proporciona y que, por desconocidos, no se llegan ni siquiera a tocar.

Windows XP: Your Definitive Lockdown Guide
jueves, 3 de junio de 2004 0 comentarios
El enlace que he encontrado hoy es una maravilla entre las maravillas. El "Google Hacker's Guide" te enseña a usar, a la máxima potencia, las maravillas del buscador más famoso y eficiente de la historia. Y todo, debido a la rapidez con la que proporciona resultados y
su excelente algoritmo de ordenación de resultados en función de un valor calculado (PageRank).

Google Hacker's Guide
 
;