Qué deben tener en cuenta los CISOs en las métricas de seguridad de la información

noviembre 27, 2013 § Deja un comentario

La semana pasada fue publicado por OWASP el documento Application Security, Guide for CISOs [PDF] que contiene una serie de lineamientos para los encargados de la seguridad en las empresas. Uno de los puntos tratados dentro de esta guía para CISOs tiene que ver con algunas recomendaciones sobre que se debe medir dentro de una empresa en materia de seguridad de la información.

Cuando se realizan inversiones en materia de seguridad, puntualmente en seguridad informática, se vuelve complejo justificar este tipo de gastos ante una junta directiva y más si se deben medir los efectos de estos nuevos controles implementados para que no sean vistos como un gasto realizado para el cumplimiento de una normativa.

Además para que los planes de seguridad de la información tengan un nivel alto de aceptación es importante demostrar que son eficaces y que tienen un verdadero impacto en la reducción del riesgo en el negocio.

En resumen, dentro de las métricas el CISO de la empresa debe asegurarse de tener información para gestionar los procesos y las tecnologías que componen el programa de seguridad. Basados en la información de la guía de OWASP se pueden definir al menos tres categorías para cubrir los factores mencionados:

  • Métricas de procesos de seguridad: El objetivo de las métricas de procesos es determinar qué tan bien los procesos de seguridad en la organización cumplen con los requisitos definidos por las políticas de seguridad y las normas técnicas seguidas por la empresa.
  • Métricas de riesgos de seguridad: Como parte de las métricas es muy importante conocer la eficacia de las medidas tanto preventivas como correctivas que se implementan en la empresa como parte de la gestión de la seguridad. Por ejemplo, tener medidos los tiempos de respuesta a incidentes productos las pruebas de los Planes de Continuidad del Negocio. También tener un inventario de los problemas de seguridad que han sido explotados y relacionarlos con los análisis de vulnerabilidad realizados y las acciones correctivas implementadas, de esta forma se puede conocer la eficacia de las medidas de control.
  • Seguridad en el ciclo de vida de desarrollo de las aplicaciones: Un aspecto a menudo descuidado es el gasto en seguridad que se hace sobre las aplicaciones antes de que salgan a producción. En este sentido si se hiciera inversión en pruebas para determinar la seguridad de las aplicaciones, los costos de las correcciones serían menores a hacerlo cuando ya están en producción. Algo que puede sonar tan obvio muchas veces no es aplicado buscando la agilidad en los procesos de desarrollo. En este sentido tener un control sobre el cumplimiento de los tiempos de desarrollo, puede ayudar a que no se limiten los tiempos de prueba con el propósito de cumplir con la implementación.

Es muy importante que las actividades dentro de la gestión de la seguridad sean medidas utilizando parámetros enfocados en la toma de decisiones. De esta forma se pueden tener las señales adecuadas que permitan monitorear la gestión y así asegurar que las actividades se cumplan correctamente, logrando evaluar los resultados de la gestión frente a los objetivos planteados. Es así como las métricas, sean cuantitativas o cualitativas deben ser la herramienta que permita obtener datos sobre procesos a través de los cuales se pueda conocer la evolución de los programas de seguridad para lograr tomar las medidas de mejora a tiempo.

Fuente: Laboratorio de ESET

Ejercicio para robar cookies cifradas débilmente con ECB

noviembre 20, 2013 § Deja un comentario

ECB (Electronic codebook) es otro de los magníficos ejercicios de PentesterLab en el que podemos aprender a robar cookies que usan cifrado ECB o por bloques, de forma débil, del cual nos podríamos a provechar para suplantar la identidad de otro usuario.

El ejercicio es de iniciación y todo lo que se requieren son conocimientos básicos de PHP y HTTP, además de un software de virtualización (VirtaulBox o VMPlayer por ejemplo).

Como de costumbre te puedes descargar la máquina virtual para 32 ó 64 bits además del PDF que nos guía a través del ejercicio.

 Fuente: CyberHades

94% de las conexiones a un sitio son de atacantes

noviembre 17, 2013 § Deja un comentario

Intrusos y ciberdelincuentes intentan detectar vulnerabilidades en sitios web para acceder a la cuenta de administrador.

Según investigación realizada por la empresa de seguridad informática Incapsula entre 1000 sitios web analizados durante un periodo de 3 meses, sólo 20.376 intentos de inicio de sesión (login) fueron exitosos, de un total de 1,4 millones.

La mayoría de los intentos de conexión fueron realizados por herramientas automatizadas y robots, y no por individuos.

El material analizado por Incapsula indica que el 94 por ciento de todos los intentos de inicio de sesiones; es decir 15 de cada 16, corresponde a tales herramientas, que recorren Internet en búsqueda de páginas inseguras, intentando detectar vulnerabilidades o agujeros de seguridad que les permitan ingresar a los sitios y hacerse del control de éstos.

En la mayoría de los casos se trata de intrusiones de tipo “fuerza bruta”; es decir, programas que digitan un gran número de nombres de usuario y combinaciones de contraseñas, esperando así obtener acceso al servicio.

Sólo el 2,8% de los intentos infructuosos de conexión son atribuibles a error humano; es decir, realizados por personas que probablemente habían olvidado la contraseña, o escrito el código erróneo.

Fuente: DiarioTI

Cuántas líneas de código tiene… [Infografía]

noviembre 16, 2013 § 1 comentario

Comparar el código fuente de una aplicación con un libro es pedir demasiado pero es una forma de recrear un cuadro mental de cuánta información tiene la tecnología de hoy.

Es absolutamente asombroso cuántas líneas de código puede llevar realizar algunas operaciones. Por ejemplo, Facebook tiene por lo menos 15 veces más de código que el gran colisionador de hadrones. Aquí una excelente infografía (en proceso) de los proyectos de software más conocidos y sus respectivas cantidad de líneas de código (clic para agrandar).

Fuente: DailyInfographic

Vulnerabilidad en Twitter permite subir archivos a su servidor

octubre 30, 2013 § Deja un comentario

El experto de seguridad de Q-CERT Ebrahim Hegazy ha encontrado una vulnerabilidad grave en Twitter que permite a un atacante subir archivos de cualquier extensión, incluyendo PHP.

Cuando una aplicación no valida o valida incorrectamente los tipos de archivo antes de subirlos al sistema, se permite a un atacante cargar y ejecutar código arbitrario en el sistema destino.

Según Ebrahim, cuando un desarrollador crea una nueva aplicación para Twitter es decir, dev.twitter.com tienen una opción para subir una imagen para esa aplicación. Durante la carga de la imagen, el servidor de Twitter valida que los archivos subidos sólo sean de determinadas extensiones de imagen, como PNG, JPG y otras extensiones.

Pero en una prueba de concepto (video) demostró que una vulnerabilidad permite eludir esta validación de seguridad y un atacante puede subir con éxito cualquier tipo de archivo como “.htaccess” o “*.PHP”, al servidor de imágenes twimg.com.
Twimg.com trabaja como un CDN (red de distribución de contenido) lo que significa que cada vez que atacante carga un archivo, estará alojándolo en un servidor twimg.com.

Si bien los CDN generalmente no permiten ejecución de comandos, la vulnerabilidad podría utilizarse para crear un servidor de botnet o para hosting de malware.

Twitter por ahora no tiene un programa de recompensas pero reconoció la importancia de la vulnerabilidad y añadió el nombre del autor a su salón de la fama. Ebrahim Hegazy además reveló que también ha encontrado una redirección abierta en Twitter, que ha sido solucionado el 15 de septiembre pasado.

Fuente: HackerNews

Libros, libros y más libros

octubre 21, 2013 § Deja un comentario

En Github se ha creado un repositorio nuevo, el cual no contiene ningún tipo de programa o aplicación sino cientos de enlaces a libros gratuitos principalmente sobre programación.

Una de las ventajas de usar Github (en realidad cualquier repositorio de control de versiones) es que es muy fácil bajarnos (clonar) el repositorio completo. Otra gran ventaja de este método es la colaboración. Se hace muy fácil el poder añadir nuestros propios enlaces y hacer una petición para que se incorporen al repositorio principal.

Actualmente podemos encontrar libros en los siguientes idiomas:

También hay otro fichero que contiene libros sobre frameworks o librerías javascript. La lista de libros en inglés es una copia actualizada de la famosa lista de stackoverflow. Y la de los libros franceses está basada en este otro enlace: http://progdupeu.pl/forums/sujet/43/une-banque-de-liens.

Fuente: CyberHades

Guía de fortificación y seguridad de servidores web Apache

octubre 21, 2013 § 2 comentarios

De acuerdo con Netcraft, a día de hoy Apache sigue siendo el rey en servidores web y por lo tanto el más usado a través de Internet.

Es por ello, que también sea seguramente el más atacado por la cuota de mercado que ocupa. Por lo que tener un servidor Apache bien configurado es una tarea obligatoria para cualquier administrador.

Esta guía recientemente publicada nos ayuda con esta tarea. Trata desde el filtrado de información, hasta la configuración de los ficheros logs, pasando por la autorización, seguridad en aplicaciones web, configuración de SSL y Mod Security.

Es una guía muy concisa y resumida que nos lleva al grano. El índice de la misma es el siguiente:

Fuente: CyberHades

¿Dónde estoy?

Actualmente estás explorando la categoría programación segura en Seguridad Informática.