Metodologías de desarrollo seguro por @dsespitia y @crisborghe

Hoy les quiero compartir un nuevo Webcast parte de la segunda temporada de ElevenPaths Talks. Para esta sesión nos encontramos con Diego Espitia @dsespitia junto a Cristian Borghello @crisborghe comentando sobre Metodologías de Desarrollo Seguro (Secure-SDLC).

Figura 1: ElevenPaths Taks

En el mercado del desarrollo del software es muy común hablar de Ciclo de Vida del Desarrollo del Software (o por sus siglas en Ingles SDLC), sin embargo en dichos procesos normalmente no se consideran las cuestiones de seguridad.   Hace ya unos cuantos años en el mercado se introdujo el concepto de Secure-SDLC, es decir que se incluyó sobre los modelos conceptuales la implementación de distintos tipos de análisis de seguridad en cada una de las etapas de un proyecto que involucre el desarrollo y el mantenimiento de una aplicación.


Saludos!

Google Hacking: Tu Infraestructura desde #Cacti

Las herramientas de monitoreo son indispensables en todas las infraestructuras IT, donde claramente, están diseñadas para brindar información precisa y medidas.

Figura 1: Infraestructura IT

Para este tipo de tareas, existe una gran cantidad de soluciones, en algunos casos basados en Software Libre y en otros con algún costo asociado, pero siempre buscando satisfacer las necesidades a los administradores.

Zabbix, Cacti, Nagios, MRTG son apenas ejemplo de una gran cantidad de herramientas para lograr monitorear y tratar de llevar adelante un control en el tráfico de la red.

En estos días, jugando con algunas querys en Google, me encontré con un par de gráficos generados por Network Weathermap

Network Weathermap

Figura 2: Ejemplo de implementación de Network Weathermap

Es una herramienta que crea gráficos de la infraestructura de conexiones con la característica visual de saber las estadísticas en relación a colores sobre el tráfico actual.

Con lo cuál, además de tener presente sobre el gráfico cada componente, es posible visualizar si existe transferencia de información y su volúmen.

Otra característica de Network Weathermap es que tiene la capacidad de integrarlo con las otras herramientas y consolas de monitoreo para contar con soluciones mas robustas.

Hasta aquí todo va genial. El problema surge cuando descuidamos las implementaciones y una vez mas la infraestructura puede llegar a quedar expuesta indexada en Google

Google Hacking Network Weathermap

Sobre la integración de Network Weathermap y Cacti, existe una interesante cantidad de descuidos que pueden ser descubiertos por medio de la siguiente búsqueda en Google.

inurl:"/weathermap/weathermap-cacti-plugin.php"

Figura 3: Búsqueda en Google del plugin Weathermap para Cacti

Una vez más, las ideas son muy interesante y lograr una integración siempre es el camino correo, pero lo que no se nos tiene que pasar por alto es de implementar mecanismos básicos de seguridad

Saludos!

Google Hacking: Veo tu #BandwidthD

En estos días, me tocó iniciar un nuevo proyecto para administrar algunos servidores y buscando los servicios incorporados me topé con un interesante proyecto de monitoreo llamado BandwidthD.

Figura 1: Logo BandwidthD

BandwidthD como proyecto es genial, ya que registra el ancho de banda de una sub red mostrando reportes generales y de direcciones IP en particular en un formato HTML durante lapsos de tiempo difinidos.

Por otro lado, BandwidthD tiene la capacidad de identificar por medio de diferentes colores el tráfico que corresponde a los protocolos HTTP, TCP, UDP, ICMP, VPN y P2P.

El desafío es consultar a Google cuántos administradores agregan BandwidthD a su servidores y están exponiendo información interna de sus compañías.

Google Hacking BandwidthD

intitle:"bandwidthd" "programmed by david hinkle, commissioned by derbytech wireless networking."

Figura 2: Resultado del Google Hacking

La verdad que otra interesante fuente que expone información muy sensible, desde las sub redes privadas, hasta los nodos vivos dentro de la red, donde si no se tiene algún esquema de DMZ, se podría determinar mediante el uso del sentido común, cuales son los servidores, gateway, etc.

Mejor a estar atentos y agregar seguridad a este tipo de reportes para disminuir la exposición e la información.

Saludos!

Diferencias entre Análisis de Infraestructura, Análisis Web y Code Review por @dsespitia

Hoy les quiero compartir una bonita e interesante charla de Diego Espitia @dsespitia del 4 de Agosto para la segunda temporada de ElevenPaths Talk.

Figura 1: ElevenPaths Talks

Aquí muestra de una forma muy simple de comprender las diferencias y los detalles que existen entre los Análisis de Infraestructura, los análisis de seguridad web y finalmente Code Review.

A menudo en los procesos de licitaciones o RFP nos encontramos con solicitudes un tanto confusas en cuanto los requerimientos técnicos por las confusiones en las bases de los términos más comúnmente utilizados en el mundo de la seguridad de la información. Es por ello que en este webcast hemos decido abordar los temas de base para ayudar a comprender conceptualmente cada uno de los términos referidos a tipos de análisis de seguridad permitiendo incluso conocer los procesos que involucran.

Si bien el día de la presentación no pude estar conectado para interactuar con Diego, afortunadamente ya se encuentra el video inmortalizado en el canal de YouTube para ElevenPaths Talk.


Saludos!

#SecLists, una colección de diccionarios

Para hoy les quiero mostrar un interesante proyecto que intenta recopilar diferentes diccionarios y listas de palabras que pueden ser muy útiles como ingreso a otras herramientas de auditorias o tareas de pentesting.

Figura 1: SecLists

SecLists

El proyecto se llama SecLists y su repositorio en GitHub

https://github.com/danielmiessler/SecLists

y desde alli podemos encontrar colecciones de URL's, Username, Password, nombres de Web Shell, nombres de servicios, directorios, y muchas cosas más.

A la hora de realizar PoC en fuerza bruta, crawls o reconocimientos de servicios, SecLists puede ser de gran ayuda para iniciar las pruebas.

Este post primero lo compartí en la Comunidad Pentesting de ElevenPaths, donde lo más interesante es que allí se encuentran los mejores profesionales de seguridad informática listos para colaborar y sumar más conocimiento.

Mi buen amigo Claudio Caracciolo @holesec me dejó un par de enlaces más para reforzar los diccionarios.

Solo para sumar, en este sitio hay bastante de bases muy variadas como asteroides, deportes, etc.:

https://packetstormsecurity.com/Crackers/wordlists/

y cómo no, tablas para auditorias a redes Wi-Fi con WPA-PSK:

https://www.renderlab.net/projects/WPA-tables/

Pero no debemos olvidar el generador CeWl de Digininja que es de gran utilidad:

http://www.digininja.org/projects/cewl.php

Alguien más conoce otras colecciones de diccionarios para ampliar la lista?

Saludos!

Inteligencia colectiva por @kinomakino

El pasado 25 de Junio se realizó en Valencia la I Jornada de Seguridad Informática PaellaCON con más de 15 presentaciones de diferentes temáticas y entre ellas un gran amigo Joaquin Molina @kinomakino

Figura 1: PaellaCON

PaellaCON

Jornadas gratuitas de Seguridad Informática que servirán de punto de encuentro para todas aquellas personas interesadas en el tema.

El evento apuesta por facilitar la integración plena de las mujeres en el mundo de la tecnología y la seguridad. Es por ello que una vez completada la mitad del aforo por orden de reserva, se habilitará una lista de espera a la que deberás apuntarte y desde ella confirmaremos la asistencia dando prioridad a las mujeres en lista. El objetivo de esta medida es reducir la brecha digital de género al tiempo que concienciar sobre la seguridad informática.

Inteligencia colectiva, usemos la cabeza (Threat Intelligence)

Durante la charla se realizará un repaso a las tecnologías de Threat Intelligence para proporcionar seguridad a las organizaciones, así como su uso “malicioso” para realizar ataques a empresas.

Afortunadamente ya está disponible para revivir esta excelente presentación.


Saludos!