NSIA: monitor de integridad de sitios Web

mayo 31, 2010 § Deja un comentario

El ThreatFactor NSIA es un escaner de sitios web que monitorea sitios en tiempo real para detectar defacements, violaciones de cumplimiento, explotaciones, divulgación de información sensible y otros asuntos. ThreatFactor detecta los problemas de forma remota y por lo tanto no requiere la instalación de ningún software, no introduce ninguna latencia y no interrumpe la operatoria de los negocios.

En su núcleo, ThreatFactor usa un avanzado motor de análisis que es capaz de detectar una amplia variedad de problemas y puede ser modificados con firmas a medida.

NSIA puede ser configurado para realizar casi cualquier acción una vez que se identifica un problema, tal como enviar un mensaje de texto (IM, correo, SMS) o ejecutar un script. Tipos de problemas detectados. La solución de ThreatFactor fue diseñada específicamente para que las organizaciones identifiquen rápidamente problemas en sus sitios web que podrían dañar la imagen de su organización o afectar adversamente a sus clientes, socios y empleados tales como:

  • Defacement de sitios web: Usuarios maliciosos deambulan en Internet específicamente para desfigurar sitios. A menudo esos sitios contienen lenguaje o imágenes ofensivas y el probable resultado es una imagen dañada. 
  • Problemas de cumplimiento y privacidad: ThreatFactor puede detectar problemas que podría afectar adversamente el cumplimiento o la privacidad de los usuarios tales como: formularios que envíen contraseñas sin cifrar, páginas que acepten información del usuario pero que no incluyan política de privacidad.
  • Explotaciones Web: A menudo, los atacantes comprometen un sitio web e instalan explotaciones para atacar a los visitantes del sitio. Estos son clasificados a menudo como defacement silenciosos ya que el sitio no se ve cambiado visualmente. Sophos señaló que la vasta mayoría de los sitios web que alojan malware (cerca de 80%) son sitios legítimos que han sido comprometidos. Además, ThreatFactor puede detectar sitios web que fueron modificados de forma tal de enviar información privada del cliente (como las credenciales de ingreso) a un tercero.
  • Fugas de información sensible: Los sitios web pueden filtrar información sensible mediante mensajes de error detallados, archivos que no tienen la intención de ser mostrados públicamente y empleados bloggers desinformados.
  • Fallas de Sistema: ThreatFactor puede detectar muchos tipos de problemas en sitios web tales como:
    • Enlaces rotos
    • Mensajes de error y advertencia
    • Servidores mal configurados o con la configuración por defecto
    • Certificados SSL vencidos
    • Errores de servidor

Características principales

  • Linea base de contenido automática y auto ajuste
  • Descubrimiento automático de contenido web
  • Interfaz web incluída
  • Conjunto de firmas completo
  • Controles de acceso completo 
  • Editor integrado de firmas a medida 
  • Integración SIEM
  • Base de datos integrada

Traducción: Raúl Batista – Segu-Info
Fuente: Security Database Tools Watch

Anuncios

La importancia de los protocolos cifrados: Envenenamiento ARP mediante ettercap

mayo 31, 2010 § Deja un comentario

Hola,
ettercap es un conjunto de herramientas con capacidad de disección para múltiples protocolos que facilita la ejecución de ataques Man-in-the-middle en redes locales.

Una de las múltiples funcionalidades que tiene ettercap es la posibilidad de realizar envenenamiento ARP de una puerta de enlace que esté siendo usada por otros equipos de la red local, lo que nos permite la captura de tráfico de terceros. Este método es válido para poder valorar las condiciones de seguridad de los protocolos empleados en una LAN, si bien, como cualquier otra herramienta de seguridad, en malas manos puede ser empleada para la obtención maliciosa de información sensible sin nuestro conocimiento y/o consentimiento.

Con el objeto de ilustrar la importancia del uso de protocolos cifrados, vamos a ver la implicación del uso de distintos protocolos ante un evento de envenenamiento ARP. Para ello dispondremos de una red local simulada con dos máquinas virtuales corriendo en el mismo segmento. La primera es una estación Debian, que ejecutará ettercap, y la segunda es una máquina Windows XP, que actuará como víctima. El montaje es válido para tantas máquinas virtuales en el segmento como se deseen, siempre que la RAM lo permita 🙂

Lo primero que haremos será lanzar ettercap especificando la puerta de enlace y el rango de máquinas a atacar. En este caso particularizamos para una sóla IP, nuestra máquina víctima, si bien es posible lanzar la escucha para todas las máquinas del segmento (lo cual entraña riesgos de saturación de las comunicaciones, lo que no hace recomendable esta opción). Si es preciso añadir varias máquinas víctima, se aconseja el uso de rangos menores.

Una vez lanzado ettercap, verificamos mediante los menus interactivos el estado de las víctimas (la puerta de enlace y la máquina en la red local)

Tal y como hemos comentado, ettercap tiene capacidad de disección para múltiples protocolos. Veamos qué ocurre si lanzamos desde la máquina víctima una petición FTP. En la consola y en tiempo real veremos la interceptación de las credenciales:

Si inspeccionamos el tráfico entre la máquina víctima y el FTP destino, observaremos con más detalle el tráfico capturado:

¿Por qué podemos ver las credenciales? Esto se debe a que FTP es un protocolo en el que el intercambio de información entre máquina origen y destino no está cifrado, con lo que si envenenamos la puerta de enlace, que es la que la máquina víctima utiliza para canalizar su tráfico hacia la máquina destino, capturaremos las credenciales en claro.

Veamos que pasa en un intento de login HTTP. Este ejemplo es real, y corresponde a Pixmania, que no utiliza HTTPS para autenticar a sus clientes (desde aquí les animo a que lo hagan cuanto antes)

Como el tráfico no es cifrado, volvemos a capturar las credenciales. ¿Qué pasará en un entorno cifrado, por ejemplo, Gmail, donde toda la comunicación es HTTPS?

 Como cabía esperar, al ser HTTPS cifrado, lo único que capturaremos al envenenar la puerta de enlace es tráfico cifrado del que no podremos deducir credenciales.

Espero que este último ejemplo, así como los anteriores, nos sirvan a todos para comprender el peligro de los ataques Man-in-the-middle y de la poca conveniencia de emplear protocolos sin cifrado. A la vista está el porqué.
Un saludo,

Autor: Sergio Hernando
Fuente: Seguridad de la Información y auditoria de Sistemas

Hoy es el día de "dejar Facebook"

mayo 31, 2010 § Deja un comentario

Hoy, 31 de mayo, se celebra el día de “dejar Facebook”; hasta ahora hay 28.424 personas comprometidas a abandonar esta red social y gran parte de ellas lo hacen debido al tema de la privacidad, aunque Facebook trate, parece que este tema siempre será su talón de Aquiles.

Lo twitteros @mmilan y @josephdee son los autores de esta iniciativa, en la página principal del evento QuitFacebookDay podemos encontrar información sobre el número total de personas que se comprometieron a dejar Facebook, además de información sobre otras alternativas y por qué debemos dejar esta red social.

La gente de QuitFacebookDay dice:”Para nosotros todo se reduce a dos cosas: elecciones justas y buenas intenciones. En nuestra opinión, Facebook no hace un buen trabajo en ninguna de las dos….”

Existen alternativas a Facebook como Google Buzz, la red social más grande de Brasil Orkut, la red de grupos Ning , la red social especializada Akoha y el más reciente proyecto de código abierto Diaspora, aunque no reemplacen completamente a Facebook, sabemos que poco a poco empezarán a hacerlo si es que surge la demanda.

Si tomamos en consideración los casi 500 millones de usuarios de Facebook, el total de personas que se han comprometido a abandonar es solamente el 0.005%, pero estamos seguros que este tipo de iniciativas sirven para crear conciencia sobre el uso de las redes sociales y sobre todo de la información que se comparte.

Fuente: Soxialmedia.com

Sitios (irresponsables) que almacenan contraseñas en texto claro

mayo 31, 2010 § Deja un comentario

El sitio Password Fail mantiene una lista de los sitios web que pueden estar almacenando contraseñas en texto claro y tiene procedimientos para recuperar la contraseña original.

Un sitio no debería conocer su contraseña y que se la envíen cuando la solicita sólo puede significar que la tienen almacenada en texto claro o con un método de cifrado reversible.

Entonces, hay dos formas por la cual un sitio podría violar su privacidad y las buenas prácticas en cuanto a las contraseñas de usuario: enviar por correo su contraseña al momento de la suscripción al sitio y enviarle su contraseña original ante su petición.

Revisar el sitio mencionado, dará una idea de a donde no hay que registrarse.

Cristian de la Redacción de Segu-Info

El Rol de la Privacidad en un Mundo Web 3.0 y más allá

mayo 31, 2010 § Deja un comentario

En un momento en que el concepto de privacidad tal cual lo conocíamos esta cambiando, se me ocurrió que podía ser de interés analizar el rol de esta del mundo Web 2.0 y como esto podría evolucionar en un futuro de la mano de la Web 3.0.

Aquí les dejo un Paper que espero sea de su interés: El Rol de la Privacidad en un Mundo Web 3.0 y más allá

Fuente: Simubucks (Ezequiel Sallis)

El 10% de usuarios argentinos de celular descarga contenidos

mayo 31, 2010 § Deja un comentario

Un relevamiento privado indicó que los juegos constituyen las principales descargas a los móviles, seguidos muy de cerca por los ringtones.

“De los 36,8 millones de usuarios, el 9,9% descarga contenidos desde el celular. Un 51,5% baja juegos; un 42,4% descarga ringtones y un 16,7%, fondos de pantalla”, indicó un estudio de la consultora Prince & Cooke.

Debajo de esos contenidos se ubican las descargas de archivos de mp3, que apenas son empleadas por el 10,6% de los usuarios, dice el trabajo.

Del total de usuarios de telefonía, el 72,7% paga por la descarga de los contenidos, mientras que el gasto promedio es de $5.

“Según nuestras estimaciones, el negocio de contenidos pagos que pueden descargarse desde el celular se estima en $150 millones, con un gran potencial de crecimiento”, finalizó Prince.

Fuente: Infobae

Revuelo por topless de joven cantante

mayo 31, 2010 § Deja un comentario

Le habrían robado su e-mail.

Una fotografía de Hayley Williams, vocalista de Paramore, con el torso desnudo fue publicada en Twitter. Al parecer, la imagen fue tomada por la cantante y enviada desde la cuenta “hackeada” de la estrella de 21 años.

A pesar de que la fotografía sólo estuvo un corto tiempo online, ese lapso fue suficiente para que los fanáticos de la banda reenviaran la imagen y la esparcieran por toda la Web.

Luego, la joven envió un mensaje a sus fanáticos donde asegura: “Mi noche acaba de cambiar drásticamente”. Los seguidores de Paramore mostraron su apoyo incondicional a Hayley Williams por lo sucedido.

Fuente: Ambito

¿Dónde estoy?

Actualmente estás viendo los archivos para mayo, 2010 en Seguridad Informática.