24 de enero de 2016

Memorias de un Perito Informático Forense por @lawwait

Hoy toca sumar un nuevo video de Conferencias de Seguridad que siempre me gusta compartir con todos, en esta oportunidad otra bonita conferencia de Lorenzo Martinez @lawwait hablando sobre Forense y tres experiencias que realmente vale la pena escucharla.


Una charla muy divertida, mucho contenido técnico y no técnico y como siempre un gusto tener la posibilidad de aprender de las experiencias y proyectos.

Conferencia presentada el 26 de febrero de 2015 en el Campus Sur de la Universidad Politécnica de Madrid, España, por D. Lorenzo Martínez, director de Securízame y editor del blog Security By Default, en el XI Ciclo de Conferencias UPM TASSI. Una actividad docente de la asignatura Temas Avanzados en Seguridad y Sociedad de la Información TASSI.


Saludos!

17 de enero de 2016

Detección de funciones inseguras en repositorios de software libre por @holesec

Domingo de relax y descanso por un lado y por que ver algunas conferencias de seguridad informática.


Para el día de hoy, les voy a compartir una conferencia muy nueva y de un gran amigo. "Detección de funciones inseguras en repositorios de software libre" por Claudio Caracciolo @holesec en la úlgima 8.8 Computer Security Conference 2015 organizada en Chile

Muy entretenida e interesante esta conferencia comentando algunas falencias dentro del universo GNU a nivel de software que realmente vale la pena plantearlos en pos de encontrar una mejor solución para un problema determinado o una implementación.implementación

En la actualidad sistemas GNU/Linux disponen de mecanismos para acceder repositorios de código libre desde los cuales se pueden instalar aplicaciones. Una de las preguntas que uno puede realizarse es si este código abierto cumple con los mínimos de calidad a la hora de programar o codificar. En otras palabras se presenta un sistema, en forma de prueba de concepto, que permite a los usuarios analizar el código fuente de las aplicaciones disponibles en repositorios abiertos que contengan funciones potencialmente inseguras en el lenguaje C. El uso de este tipo de funciones se remonta a varias décadas, y en el estudio presentada se podrá verificar que a día de hoy siguen siendo utilizadas. El uso de estas funciones puede desembocar en el descubrimiento de nuevas vulnerabilidades en el software que permitan la denegación de servicio o la ejecución de código arbitrario.


Desde aquí le envío un saludo grande a Claudio que cada tanto estamos conectados por Twitter y ojalá les haya gustado el video.

No se olviden de dejar sus comentarios, like, +1 y RT

Saludos!

12 de enero de 2016

El problema no es tu #WordPress el problema eres tú

Alguien sabe cuantos años lleva el desarrollo de WordPress? Les aporto un dato, el 9 de Mayo del 2003 fue su lanzamiento oficial. Cerca de 13 años de un continuo desarrollo y una gran evolución en las características funcionales, un centenar de programadores involucrados en el proyectos y a día de hoy seguimos creyendo que el problema es de nuestro WordPress.


¿Por qué el título de este post? En estos últimos años, como les comenté en varias oportunidades, me dediqué a capacitar en términos de seguridad sobre WordPress con algunos talleres y también a dar El problema no es tu #WordPress el problema eres túEl problema no es tu #WordPress el problema eres túconferencias junto al proyecto WPHardeningdonde la pasé genial.

En estos eventos, la gente siempre se acerca, muy amablemente para contar sus problemas con WordPress y me cuentan "El WordPress me va muy lento a pesar de tener un VPS" o "Siempre me hackean el WordPress" o también "No confío del WordPress por eso creo mi propia Web".

Yo siempre se decir que para todos, siempre hay un costo y un pago, si bien en este caso el costo no es monetario por ningún tipo de licencia, ya que WordPress afortunadamente es un proyecto fundado en los principios del Software Libre, pero si, un costo asociado a un compromiso y una gran responsabilidad por cada implementación.

La premisa de WordPress siempre fue hace un software intuitivo, fácil de instalar y muy simple para administrar, y hasta el día de hoy lo siguen manteniendo, de hecho fue uno de los factores del éxito, pero tampoco podemos pretender que WordPress haga todo por nosotros.


Pero, ¿WordPress no tiene fallos de seguridad? pero por su puesto que los tiene, que software no lo tiene hoy en día y más proyectos de esta envergadura que se encuentran en el ojo de la tormenta y que saben que cada problema de seguridad conlleva un movimiento importante.

De todos los años que trabajé con WordPress, siempre vi que estaba a la altura de cada uno de los problemas que fueron atravesando en más de una década de camino, recordemos que detrás de Matt Mullenweg existe una gran comunidad de desarrolladores colaborando para este proyecto.

Como voy a pretender que mi WordPress valla bien si no me tomé el tiempo de realizar una configuración optima en mi servidor web. Como puedo pretender que mi Web sea segura si no me fije en las configuraciones que tiene, o me descargue un Theme desde una web para no comprar una licencia o ni siquiera utilizo algunos Plugins básicos de seguridad.

¿Cuál es el costo de tener instalado WordPress? es la pregunta que siempre hago en mis conferencias, lo respondimos al principio, compromiso y responsabilidad.

Compromiso para hacer un paso más de lo que WordPress nos propone, y responsabilidad para ayudar y fortificar el proyecto en el que estamos trabajando, tener una noción mínima de seguridad y hacer uso del sentido común.

Es por ello que tenemos que adoptar buenas prácticas en la administración de estos CMS:

  • No crear usuarios con permisos de Administrador
  • No instalar Plugins de cualquier fuente
  • No incorporar un Theme de cualquier repositorio
  • Revisar los permisos de archivos y directorios
  • Eliminar los archivos innecesarios
  • Ejecutar las actualizaciones
  • Realizar copias de seguridad en forma periódica
  • etc.

Y aún así es imposible garantizar una web segura al 100% pero si mantener una línea aceptable en niveles de seguridad.

Es por ello que la próxima ves que descarguemos nuestra furia por algún problema en nuestro WordPress, mejor comencemos a adoptar un poco de auto critica y ver que es lo que estamos haciendo mal, que es lo que no estamos haciendo y que vamos a cambiar.

y recuerda ... El problema no es tu #WordPress , el problema eres tú. Los invito a que me dejen todos sus comentarios.

Saludos!

10 de enero de 2016

Terapia de Sillón: Me dedico al cómputo forense por @cibercrimen

No quería dejar pasar este Domingo para muchos ya de vacaciones sin recomendarles una charla de uno de mis conferensistas favoritos, Andrés Velazquez @cibercrimen


Para esta "Terapia de Sillón: Me dedico al computo forense" nos explicar a que se dedica, en que consiste el trabajo de con forense digital y en que proyectos está trabajando fuertemente.


Excelente conferencia, siempre muy original y un excelente profesional en la materia.

Saludos!

7 de enero de 2016

Actualización de Seguridad en #WordPress 4.4.1

Primera actualización de WordPress para este 2016, y se trata de nada más y nada menos que una importante actualización de Seguridad para la nueva versión 4.4.1 y esta vez lo compartimos para invitarlos a actualizar todos sus proyectos.


Según reporta el blog de WordPress, la versión 4.4 se encontraba vulnerable a ataques de tipo Cross-site Scripting XSS, que como vimos en varias oportunidad, podrían permitir a un posible atacante comprometer el sitio web.

Por otro lado se mejoraron algunas características que nada tienen que ver con seguridad:

  • Emoji ha sido actualizado para incluir todas las últimas caracteres emoji.
  • Algunos sitios con versiones anteriores de OpenSSL instalados eran incapaces de comunicarse con otros servicios prestados a través de algunos plugins.
  • Si se reutiliza siempre una URL de correos, el sitio podría redirigir el mensaje equivocado.


De esta forma suma un total de 52 correcciones que concluyen en la nueva versión estable WordPress 4.4.1

No se olviden de actualizar sus implementaciones antes que sea muy tarde, por otro lado voy a trabajar en WPHardening para brindar soporte sobre esta nueva version.

Saludos!

Enlace | WordPress 4.4.1 Security and Maintenance Release

5 de enero de 2016

JShielder - Linux Hardening Script Guide

El día de hoy me gustaría compartir un ebook de mi amigo Jason Soto @JsiTech donde muestra e forma detallada el funcionamiento de JShilder.

Figura 1: JShielder - Linux Hardening Script Guide

JShielder es una herramienta Software libre que le permite al Administrador de Sistemas hacer un despliegue Seguro de LAMP (Linux-Apache-Mysql/MariaDB-PHP), LEMP (Linux-Nginx-MySQL/MariaDB-PHP), Reverse Proxy o Servidor para hostear una aplicación de manera automatizada con poca interacción del usuario.

Figura 2: Portada del ebook JShielder

De esta forma se mantiene vigente el espíritu del Software Libre, adaptando y mejorando a necesidad de cada uno, en este caso una gran mejora del Proyecto JackTheStripper de Eugenia Bahit.

Los invito a todos a leerlo en línea o descargarlo, y comenzar a realizar sus pruebas con este script que realmente automatiza un montón de tareas y fortifica un completo entorno LAMP.

JShielder - Linux Server Hardening Script


Saludos!

4 de enero de 2016

Los 3 principios del Hardening aplicados a tu #WordPress

En estos últimos años me dediqué a estudiar muy de cerca los posibles ataques que sufren los WordPress y desplegué una línea de servicios basado en la recuperación y mejora en la seguridad de estas web creando WPHardening como herramienta de fortificación que en numerosos post comentamos sus lanzamientos.

Figura 1: Los 3 principios del Hardening aplicados a tu WordPress
Hoy les quería dejar los tres principios del hardening que generalmente en las presentaciones siempre damos y que muchas veces parecen obvias pero seguimos sin tenerla en cuenta.

1. Mínimo Punto de Exposición (MPE)


Algo que siempre tienen que tener en cuenta es que WordPress como otros CMS está pensado para usuarios con diferentes niveles técnicos, en otras palabras, la idea es que cualquier persona sin tantos conocimientos técnicos sea capaz de instalar esta plataforma.

En el afán de cumplir con ese requerimientos, siempre incorpora información adicional o componentes que en muchos cosas no deberían estar.

A estos componentes los podemos traducir como archivos que revelan información, plugins innecesarios y que incluyen por defecto y finalmente estilos o themes que también se incluyen y que en muchas oportunidades no lo utilizamos.

Todas estas cosas que parecen detalles un posible atacante puede comenzar a montar un vector de ataque basado en la recopilación y análisis de esa huella que nuestro proyecto está dejando.

Lo primero que podemos hacer es eliminar algo tan simple como:

  • /readme.html
  • /licencia.txt
  • /license.txt
  • /wp-includes/images/crystal/license.txt
  • /wp-includes/js/swfupload/license.txt
  • /wp-includes/js/plupload/license.txt
  • /wp-includes/js/plupload/changelog.txt
  • /wp-includes/js/tinymce/license.txt
  • /wp-includes/js/tinymce/plugins/spellchecker/changelog.txt
  • /wp-includes/js/swfupload/license.txt
  • /wp-includes/ID3/license.txt
  • /wp-includes/ID3/readme.txt
  • /wp-includes/ID3/license.commercial.txt
con respecto a los themes, también puede eliminar aquellos que no utilizas en tu proyecto

  • /wp-content/themes/twentytwelve/
  • /wp-content/themes/twentythirteen/
  • /wp-content/themes/twentyfourteen/
  • /wp-content/themes/twentyfifteen/

Es muy simple verdad, por otro lado, a medida que pasa el tiempo está comprobado que cada WordPress en promedio incorpora de 3 a 6 plugins a lo largo del tiempo, entonces todo aquello que ya no lo utilicemos lo mejor nuevamente es eliminarlo, NO dejarlo allí inactivos sino eliminarlo.

2. Mínimos Privilegios Posibles (MPP)


Tu WordPress, quieras o no, va a tener un administrador y es por ello es que hay que tener en cuenta cuales van a ser los privilegios de administración que van a tener los usuarios dentro de la plataforma.

Esta planificación tiene que ser eje principal para que todos los usuarios que se creen no sean administradores y eventualmente modifiquen la estructura sin autorización de los verdaderos responsable.

Para ello WordPress incorpora los siguientes grupos que va de mayor capacidades a menor.

  • Administrador - Quien tiene acceso a todas las características de administración de un sitio en particular.
  • Editor - Quien puede publicar y editar entradas, propias y de otros usuarios.
  • Autor - Quien puede publicar y editar sus propias entradas.
  • Colaborador - Quien puede escribir y editar sus propias entradas pero no publicarlas.
  • Subscriptor - Quien solamente puede editar su perfil.
Esto es con respecto a la administración de WordPress, pero además tenemos que tener en cuenta otros aspectos esenciales, como los permisos en el sistema de archivos.

Como regla básica y elemental los permisos deberían ser:
  • 0644 - Para los archivos
  • 0755 - Para los directorios

3. Defensa en Profundidad (DP)


Finalmente nos encontramos con Defensa en Profundidad, y no es mas que planificar nuestro proyecto pensando en agregarle varias capas de seguridad, desde mejorar las configuraciones que se encuentran en el archivo wp-config.php hasta la incorporación de Plugins de seguridad.

Existe una gran cantidad de parámetros que podemos setear dentro del archivo de configuración de WordPress que va desde evitar la instalación o eliminación de un nuevo plugins hasta no permitir el acceso a editar el theme una cuenta Administradora, y que en definitiva son esenciales para buscar el detalle al proyecto.

Por otro lado existe una gran cantidad de plugins que podemos incorporar para mejorar la seguridad de nuestro WordPress


Y sin dudas, estos son solo unos pocos pero efectivos plugins que puedes incorporar a tus proyectos y que sin duda van a mejorar la seguridad de WordPress.

Como se puede ver, existe muchos aspectos a tener en cuenta en cada implementación de WordPress incluso más, cada vez que tenemos que actualizar a una nueva versión. Todos estos puntos y más son los necesarios para poder mantener una línea aceptable de seguridad.

El camino a seguir sin duda es la automatización de tareas, por lo cuál fue creado WPHardening para lograr hacer de forma automática ésta y varias tareas más.

Saludos!

3 de enero de 2016

Crozono: cracking the security perimeter with drones en #eko11

Primer Domingo del años tirados en el sillón, para algunos programando y organizando lo que va a ser la semana y para otros quizás de descanso y vacaciones.


Me gustaría compartir con ustedes una excelente charla de Pablo Ramanos & Sheila Berta sobro un framework llamado Crozono presentado en la última Ekoparty 2015 #eko11

Crozono: cracking the security perimeter with drones


La tecnología Wi-Fi aprovecha la tecnología de radiofrecuencia que proporciona ventajas en comparación con otras tecnologías cableadas tradicionales. A pesar de que la tecnología inalámbrica puede proporcionar una red altamente eficiente, de fácil implementación y de bajo costo, el principal freno es el mantenimiento de su seguridad. En las topologías tradicionales por cable, el acceso físico al medio de transmisión está limitado solo a los usuarios autorizados, sin embargo en las redes WLAN el acceso físico al medio lo tiene todo el mundo que está dentro del rango del AP.

Actualmente, el protocolo de seguridad WPA es incapaz de brindar fiabilidad en la protección frente al acecho de los atacantes. Mucho menos puede hacerlo el protocolo WEP. El presente trabajo se centra en el desarrollo de un módulo de software y una metodología de trabajo (framework CROZONO) para realizar pruebas de penetración en perímetros de seguridad desde dispositivos móviles no convencionales (drones, robots, prototipos teledirigidos, etc.) que pueden facilitar el acceso al medio físico de una red inalámbrica.


Saludos!

1 de enero de 2016

CBN Alert - Upgrade to New FirstOnline Or Get Disabled

Así iniciamos el año, como verdaderos cazadores de spammers. Es que los malos no se toman ni vacaciones y nosotros mucho menos.


Para el día de hoy tenemos una muestra de un SPAM más antiguo de lo que pensaba pero SPAM al fin con una mezcla de PHISHING para pinchar en cada uno de los enlaces que muestra el correo.


Tratemos de no iniciar el año cayendo en estas trampas tan poco elaboradas, basta con saber que no tengo ninguna cuenta en ese banco además les juro que esos dos enlaces se dirigen a destinos muy sospechosos.

A estar atentos, usar el sentido común, actualizar nuestros ordenadores personales, smarphone y todo aparato conectado a la Internet y empiecen a soñar con sus vacaciones.

Saludos!

Entradas populares