Ads 468x60px

28 de julio de 2014

¡¡¡#100!!!

Hace aproximadamente dos años que decidí abrir este blog desde el que intento escribir una entrada semanal, normalmente las publico los lunes, y con la entrada de hoy he llegado a la número 100. Para mi es una satisfacción haber llegado al número 100, eso quiere decir que aún tengo cosas que contar y que sigo intentando mantenerme al día en temas relacionados con la seguridad informática y las redes de telecomunicaciones. Por otro lado, gracias a la perseverancia y constancia creo que he conseguido mejorar mi habilidad en la escritura, ya que actualmente puedo reflejar mis ideas y pensamientos con mayor facilidad sobre el papel.

En este último año he tenido la oportunidad de participar en nuevos proyectos para los cuales he tenido la necesidad de formarme en nuevos productos y fabricantes, como por ejemplo en los balanceadores de carga de F5 y Radware, obteniendo la certificación de este último. También he continuado en la Escuela Oficial de Idiomas estudiando Inglés para llegar al nivel B2, que si todo sale bien lo obtendré en septiembre cuando me presente al examen de recuperación de speaking. Además, estos últimos meses han sido muy gratificantes, ya que he tenido la oportunidad de conocer gente muy válida en el Primer Reto ISACA para Jóvenes Profesiones, en el cuál obtuve un reconocimiento por la ponencia de ¿estamos vendidos? Finalmente, tras cerca de un año estudiando sobre Auditoría de Sistemas, logré aprobar el examen CISA que valida los conocimientos como Auditor de Sistemas de Información. Por el momento para este siguiente año tengo como prioridad mejorar en el Ingles, obteniendo el nivel B2 y a ser posible comenzar con el C1, además de leer mucho y quien sabe si comenzar a finales de este año con el CISSP.

En cuanto a las entradas más leídas durante este último año son las siguientes:

 
En primer lugar están las entradas HSRP, VRRP o GLBP y Metodología de redes (FCAPS) que las escribí cuando estaba estudiando para la certificación CCNP de Cisco. A continuación podemos encontrar la entrada ¿estamos vendidos? que estuvo en el primer puesto durante muchos meses y fue la semilla que me llevó al Reto ISACA.

Con respecto al público que visita el blog, la mayoría de las visitas provienen de España pudiendo ver que los usuarios suelen utilizar el sistema operativo Windows con navegador Firefox.



Tan solo me queda agradecer a todo aquel que me haya apoyado y seguido durante estos dos años como blogger, que sin ellos no hubiera llegado a la entrada número 100 y no hubiera superado las 14000 visitas. Por último, pedir a todo aquel que llegue hasta el final de esta entrada que si tiene cualquier aportación o mejora sobre el blog será muy bien recibida, e indicar que durante el mes de Agosto estaré offline por “vacaciones” sin actualizar el blog, que me ayudará a pensar, reflexionar y coger energía para comenzar con fuerza en Septiembre.

21 de julio de 2014

CISA – Certified Information Systems Auditor


El Certificado de Auditor de Sistemas de Información es una certificación profesional, con reconocimiento a nivel internacional, emitida por ISACA desde 1978. La asociación ISACA valida los conocimientos en los campos de auditoría, control y seguridad de los sistemas de información de todo aquel que se presente al examen CISA, una vez aprobado, es necesario acreditar 5 años de experiencia. Además, todos los auditores que posean el certificado CISA están obligados a realizar cada año un mínimo de horas de formación para mantenerse al día en un entorno tan cambiante.

A finales de 2012 ya tenía claro que quería profundizar mis conocimientos en temas de auditoría de sistemas de información, por ese motivo añadí en mi lista de propósitos para el 2013 comenzar a estudiar conceptos, metodologías y escenarios de auditorías. A finales del verano del 2013 empecé a recabar información, leer y estudiar. Finalmente, después de un año estudiando, el mes pasado me presenté al examen y esta semana pasada por fin me dieron la nota de “successfully”.

El material utilizado y el orden de estudio ha sido el siguiente:
  • Ver los videos de CBT Nuggets.
  • Leer el libro Certified Information Systems Auditor. Study Guide. Third Edition. David Cannon.
  • Leer el libro CISA Review Manual 2013. ISACA
  • Leer el libro Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA 2013.
  • Practicar el examen a partir de la base de datos de preguntas de ISACA.
La certificación CISA está dividida en cinco áreas o dominios. Siendo los porcentajes que veis a continuación la importancia de cada uno de los dominios.
  • El proceso de auditoría de SI (14%)
  • Gobierno de TI (14%)
  • Administración del ciclo de vida de infraestructura y sistemas (19%)
  • Soporte y entrega de servicios de TI (23%)
  • Protección de los activos de información (30%)
Para todo aquel que me haya seguido durante este año en el blog habrá podido observar que he realizado muchas entradas referentes a auditoría, el motivo principal de ello ha sido que mientras iba estudiando también iba escribiendo en el blog para compartir mis conocimientos y experiencias con todos vosotros. Básicamente las entradas referentes a auditoría que he escrito mientras estudiaba son las siguientes:
Todas las entradas anteriores os pueden servir para haceros una idea de los conceptos que se tratan en la certificación CISA y que por lo tanto hay que tenerlos claros. Desde mi punto de vista el examen CISA no me ha resultado nada fácil, ya que consiste en un tipo test de 200 preguntas de opción múltiple que deben ser contestadas en 4 horas, y si no se entienden bien los conceptos, lo más probable es que no de tiempo a completarlo.

Tan solo me queda recomendar a todo aquel que esté interesado en la seguridad de la información que estudie certificaciones como esta, ya que además de aprender y reforzar conceptos, sirve para que un tercero de confianza valide tus conocimientos.

14 de julio de 2014

Protege tu Windows XP


Desde hace unos años el objetivo de crear un malware ha cambiado completamente. Antes había aficionados que en los ratos libres desarrollaban exploits para divertirse, el objetivo de estos exploits era “reírse” de los amigos presentando imágenes en la pantalla, borrando ficheros, etc. En la actualidad el negocio del malware ha evolucionado hacia el desarrollo de gusanos que espían y roban información confidencial de las organizaciones sin que estas se den cuenta. La mayoría de las organizaciones no invierten en seguridad informática hasta que detectan una intrusión que les hace perder dinero, mientras tanto prefieren siguen manteniendo plataformas obsoletas, sin soporte, actualizaciones ni mantenimiento porque no les ha pasado nada.

Debido a la falsa sensación de seguridad por parte de los administradores de sistemas, la resistencia de los usuarios al cambio o la dificultad de migrar las aplicaciones a un nuevo sistema, aún nos podemos encontrar gran cantidad de equipos Windows XP a pesar que Microsoft dejase de soportarlo hace 3 meses.


Los vectores de ataques para este sistema operativo son los mismos que para cualquier otro sistema operativo. La gran diferencia es que al no publicarse actualizaciones estaremos expuestos a nuevas vulnerabilidades. Entre los vectores de ataques podemos encontrar:
  • Exploits de red: Explotan algún servicio vulnerable que se ejecuta en nuestra máquina Windows XP. Un ejemplo clásico es el gusano conficker que aprovecha el servicio Windows Server.
  • Ataques basados en el navegador: Es el más común y se realiza cuando un usuario visita una determinada web desarrollada para explotar el equipo del usuario.
  • Correos con ficheros adjuntos: Consiste en enviarle al usuario ficheros que al ejecutarlos aprovechen algún tipo de vulnerabilidad del sistema. Por ejemplo, vulnerabilidades de lectores de ficheros PDF.
Para proteger nuestros sistemas Windows XP, y así mitigar los vectores de ataques anteriores, podemos realizar las siguientes acciones:
  • Aislar la red de equipos Windows XP: Segmentar la red creando una nueva red para sólo equipos Windows XP, además de controlar y filtrar los accesos por otras máquinas. De esta manera mitigaremos el vector de ataques de exploits de red.
  • Utilizar usuarios sin permisos de administración: La mayoría del malware que explota vulnerabilidades de software de escritorio requiere permisos de administración. De esta manera mitigaremos los vectores de ataques basados en el navegador, además de los ficheros adjuntos maliciosos.
  • Usar un navegador que aún esté en mantenimiento: Utilizar un navegador como Google Chrome que aún aplique actualizaciones es una garantía ante ataques basados en el navegador.
  • Leer el correo desde el navegador: Evitaremos abrir los correos en el Windows XP, aunque debemos tener cuidado con los ficheros adjuntos que descargamos y abrimos.
  • Monitorizar el sistema: Es la tarea más importante para detectar los ataques antes que estos sean un problema. Para ello debemos monitorizar el tráfico para comprobar si se está realizando conexiones contra equipos de Command and Control o realizando conexiones contra IPs o dominios que alojan malware. Además es muy recomendable realizar análisis de vulnerabilidades de forma periódica para conocer las nuevas vulnerabilidades a las que estamos expuestos.
Además de todo lo comentado anteriormente, al igual que en cualquier otro sistema operativo, es recomendable continuar aplicando actualizaciones del software de escritorio, así como disponer de un antivirus actualizado.

Para finalizar, mediante sistemas SIEM podremos monitorizar el comportamiento de todos los equipos Windows XP mediante el análisis del tráfico, eventos y vulnerabilidades. Además, si disponemos de equipos cortafuegos UTM podremos aplicar políticas IPS de manera centralizada que protejan los equipos frente nuevas amenazas y vulnerabilidades.

7 de julio de 2014

Heartbleed


A principios de abril se publicó el bug de Heartbleed que aprovecha una vulnerabilidad de OpenSSL versión 1.0.1, cuyo software es ampliamente utilizado para cifrar las comunicaciones como HTTPs, FTPs o VPN. Fue un mes intenso y de incertidumbre para muchos administradores de seguridad debido a la gravedad del agujero de seguridad, que permite extraer porciones de memoria del servidor donde se alojan contraseñas, certificados, etc. Sin embargo, desgraciadamente aún existen muchos servicios publicados en Internet que no han corregido el fallo de seguridad.

Ante la urgencia de actualizar el software OpenSSL para corregir el bug y la dificultad de encontrar una ventana de cambios para realizar la actualización, podemos utilizar sistemas de detección y prevención de intrusos que nos alerten cuando un atacante está intentando aprovechar dicha vulnerabilidad. Para realizar una prueba de concepto he utilizado el SIEM de Alienvault que dispone de un analizador de vulnerabilidades para conocer qué servicios tenemos vulnerables, además de incorporar un IDS que nos alerta ante cualquier ataque.

En primer lugar he realizado un escaneo al puerto 443 con Nmap utilizando el script de ssl-heartbleed contra un servidor vulnerable del laboratorio:


Inmediatamente, el SIEM, encargado de “vigilar” el laboratorio, mediante la correlación de eventos del sistema de detección de intrusos (IDS) y el análisis de vulnerabilidades ha detectado tanto el escaneo de puertos como el ataque satisfactorio, generando dos alarmas:


En la primera alarma con riesgo igual a 1 podemos ver que el IDS detecta el escaneo desde mi IP pública 188.87.125.249 hacia el servidor web:

 
Detecta el ataque de heartbleed debido a la respuesta del servidor web a la petición realizada mediante Nmap:

 
Sin embargo, la segunda alarma tiene riesgo igual a 4 ya que el ataque ha sido satisfactorio:

 
Detecta que el ataque de heartbleed ha sido satisfactorio, ya que mediante el análisis del tráfico descubre un paquete de solicitud conformado por el cliente (188.87.125.249), y el servidor vulnerable responde a la petición del atacante.


Como podemos ver, mediante un sistema de correlación de eventos podríamos conocer en tiempo real cuándo, quién y cómo nos atacan. Sin embargo, para bloquear el ataque necesitamos un sistema de prevención de intrusos (IPS) que además impida que el ataque sea satisfactorio. Una buena opción es incorporar el IPS en los sistemas de seguridad perimetral UTM que nos proteja ante los ataques, de esta manera tendremos el “privilegio” de disponer de más tiempo para planificar las actualizaciones de software vulnerable.
Related Posts Plugin for WordPress, Blogger...

Entradas populares