Security Art Work

En esta entrada vamos a hablar de la herramienta Simple Event Correlator (SEC), un script que realiza tareas de correlación cogiendo como fuentes cualquier tipo de log que podamos recibir en nuestros sistemas. Sus puntos fuertes son que no consume demasiados recursos en su ejecución y está escrita íntegramente en Perl, sin necesidad de librerías adicionales a las incluidas en la instalación por defecto de este lenguaje, por lo que podremos utilizarlo casi en cualquier plataforma.

El flujo de procesamiento que realiza se divide en tres partes: especificar qué logs queremos monitorizar, definir una serie de reglas que se comprobarán con cada nueva entrada en el log y, si aparece alguna correspondencia, se realizará automáticamente una acción definida previamente.

Las reglas están formadas por una serie de atributos para definir las acciones a realizar. Hay varios tipos de reglas que se pueden crear: detección de patrones, ya sean escritos en la propia regla (Single) o en un script (SingleWithScript), emparejar dos eventos independientes (Pair), o basadas en una hora y/o fecha específicas (Calendar) son varios ejemplos de lo que nos podemos encontrar entre todas sus opciones.

[Read more…]

En este último capítulo sobre Pfsense (ver I, II, III, IV y V) se explica la configuración de un servidor proxy como Squid en modo transparente para no tener que configurar todos los equipos de la red.

La tarea de este proxy será registrar todas las conexiones HTTP, hacer estadísticas de navegación y denegar ciertos dominios.

El primer paso es instalar estos 3 paquetes: Squid, SquidGuard y Ligthsquid.

[Read more…]

(N.d.E. Pedimos sinceras disculpas a @heidybalanta por haber utilizado una imagen suya sin referenciar a la fuente, que es la web Habeasdata.com.co.)

En artículos anteriores del blog hemos tratado únicamente temas de la ley de protección de datos personales española, pero a partir de ahora vamos a comenzar a introducirnos también en la ley colombiana. Los primeros lineamientos sobre la protección de datos personales aparecen con la Constitución política de 1991 con el artículo 15, donde se consagra el derecho de cualquier persona de conocer, actualizar y rectificar los datos personales que existan sobre ella en bancos de datos o archivos de entidades públicas o privadas. Igualmente, ordena a quienes tienen datos personales de terceros respetar los derechos y garantía previstos en la Constitución cuando se recolecta, trata y circula esa clase de información.

Veamos la evolución cronológica de la normativa:

• Ley 1266 de 2008: Se dictan las disposiciones generales del Habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones (Habeas Data).
• Decreto 1727 de 2009: Se determina la forma en la cual los operadores de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deben presentar la información de los titulares de la información.
• Decreto 235 de 2010: Se reglamenta el intercambio de información entre entidades para el cumplimiento de funciones públicas.
• Decreto 2280 de 2010: Se modifica el artículo 3° del Decreto 235 de 2010.
• Decreto 2952 de 2010: Se reglamentan los artículos 12 y 13 de la Ley 1266 de 2008.
• Ley 1581 de 2012: Se dictan disposiciones generales para la protección de datos personales.
• Decreto 1377 de 2013: Se reglamenta parcialmente la Ley 1581 de 2012.
• Ley 1712 de 2014: Se crea la ley de transparencia y del derecho de acceso a la información pública nacional.
• Decreto 886 de 2014: Se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos.

[Read more…]

El objetivo principal de esta entrada y las siguientes que vamos a publicar es ir mostrando diferentes aspectos interesantes del análisis que estamos haciendo de una de las funcionalidades del framework utilizado por el grupo bautizado como “Equation” por la empresa Kaspersky. Este grupo ha utilizado un conjunto de herramientas y funcionalidades, donde alguna de ellas han sido consideradas bastante especializadas y creemos que merecen una especial atención.

Entre todas las herramientas y funcionalidades desarrolladas por el grupo nos hemos centrado en analizar la funcionalidad que permite añadir persistencia en el firmware de los discos duros. De todos modos para más información se puede consultar el siguiente informe de Kaspersky:

– https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

Las muestras analizadas sobre las que vamos a trabajar durante los artículos son:

Nombre	        Hash	Valor
nls_933w.dll	MD5	11FB08B9126CDB4668B3F5135CF7A6C5
nls_933w.dll	SHA1	FF2B50F371EB26F22EB8A2118E9AB0E015081500
WIN32M.sys	MD5	2B444AC5209A8B4140DD6B747A996653
WIN32M.sys	SHA1	645678C4ED9BBDD641C4FF4DCB1825C262B2D879

[Read more…]

Entre una pareja, entre padres e hijos, entre los jefes y sus trabajadores; una buena comunicación es clave para prevenir problemas de seguridad en diferentes ámbitos, sobre todo en el empresarial, donde una de las principales causas de violaciones de datos son las acciones inconscientes e involuntarias de trabajadores de confianza, los también llamados Trusted insiders (inadvertent).

¿Cómo lograr que los trabajadores sean conscientes de que la seguridad de la información es una prioridad para la empresa y que de ellos depende en buen grado? Las campañas de concienciación y los programas de formación son muy importantes pero ¿son suficientes? Una comunicación continua, de calidad, y bidireccional es el pilar fundamental para lograrlo.

Planificación y desarrollo continuo

No puedes pretender que tu hijo adolescente siga tus recomendaciones para no meterse en problemas si cuando era un niño no te preocupaste en cultivar una buena comunicación con él. Lo mismo aplica para el ámbito organizacional: no basta con enviar un e-mail con las normas de seguridad de la empresa cuando ocurre un incidente o realizar una campaña de concienciación por unos meses y olvidarse del tema.

[Read more…]

Qué título tan pretencioso, ¿verdad? Algunos de vosotros ya habréis reflexionado sobre el tema que plantea este post, pero es posible que muchos de los lectores consideren que el título sugiere una situación exagerada y fatua. A continuación comparto con vosotros algunos datos recopilados durante la fase de investigación previa a escribir este artículo.

La ciberseguridad mueve cada vez más dinero a nivel mundial, para muestra las siguientes cifras (datos extraídos del informe realizado por el Center for Strategic and International Studies (CSIS) y McAfee , julio 2014):

• Impacto global de la ciberdelincuencia: aproximadamente 445.000 millones de $.
• Impacto económico de la ciberdelincuencia en las empresas: 400 millones de $.
• Las pérdidas globales vinculadas a violaciones de “información personal” podrían llegar a 160.000 millones de dólares.

[Read more…]

En el post anterior (Detección de código malicioso con YARA (I)) os explicamos la funcionalidad de YARA y cómo crear reglas básicas para detectar malware especifico. En este post vamos a usar YARA con Volatility sobre un volcado de memoria RAM para la detección de un Troyano bancario ‘Zeus’. Para los que no sepáis que es Volatily, es una herramienta de código abierto para el análisis de la memoria RAM. Es compatible con el análisis para Linux, Windows, Mac y sistemas Android.

Para el propósito de demostrar la funcionalidad de Volatility con Yara hemos obtenido un volcado de memoria que esta infectado por uno de los troyanos bancarios mas conocidos, ‘Zeus’.

Actualmente Zeus es muy “difícil” de detectar incluso con antivirus y otros softwares de seguridad, ya que usa algunas técnicas de ofuscación. Se considera que esta es la razón principal por la cual se ha convertido en una de las mayores botnets de Internet.

[Read more…]

Como ya se comentó en el anterior post, el ENS tendría que estar implantado al 100% en las diferentes administraciones públicas y proveedores:

• Hace 5 años de su publicación.
• Hace 4 años desde que todo nuevo proyecto debía “nacer” adecuado al ENS.
• Hace 4 años desde que se debía empezar con los planes de adecuación.
• Hace 1 año desde que todo plazo de adecuación acabó y por tanto la implantación debía estar realizada.

3 años parecían tiempo suficiente para llevar a buen puerto las adecuaciones, así que una vez pasado un cuarto año de cortesía, toca medir cómo ha ido esta adecuación. Vamos a verlo.

[Read more…]

Para hoy tenemos una entrada de un colaborador, Alex Casanova, administrador de Sistemas Windows, Linux y Sistemas virtualizados con VMware con más de 10 años de experiencia. Adicto a las nuevas tecnologías y las telecomunicaciones dedica gran parte de su tiempo a la investigacion de sistemas radio, OSINT y redes de comunicaciones. Actualmente está involucrado en el despliegue de una red digital de comunicaciones DMR para radioaficionados. Se le puede encontrar en su twitter @hflistener y en su blog Digimodes.

Anteriormente, de la mano de Juan Manuel Sanz, se ha hablado del Firewall pfsense (I, II, III, IV y V). Hoy vamos a ver un addon muy interesante que nos ayudará a mejorar la seguridad de nuestra red usando pfsense.

pfblockerNG

El addon pfblockerNG es la evolución del antiguo paquete pfblocker. Básicamente es un paquete capaz de descargar y gestionar listas de direcciones IP (IPv4 /6) desde múltiples fuentes y diferentes formatos.

[Read more…]