Categoría : Seguridad Informática

Inicio/Archivo por Categoría Seguridad Informática (Page 13)

El hackeo de Ashley Madison pone en jaque a 37 millones de adúlteros

Un total de 37 millones de personas de todo el mundo están en jaque y no porque tengan dificultades para llegar a final de mes o porque se hayan quedado sin trabajo, sino porque el hackeo de la web de citas extramatrimoniales Ashley Madison puede poner fin a su matrimonio si el grupo The Impact Team decide airear los datos personales de todos los usuarios.

La petición de este grupo de hackers para no revelar los datos de todos los usuarios de esta conocida aplicación está ya sobre la mesa, y no es otra que cerrar y retirar todos los servicios de Ashley Madison, algo que parece poco improbable.

Para quien no conozca este servicio, bajo el lema “La vida es corta. Ten una aventura” ofrece la posibilidad a personas casadas de tener una aventura sexual al margen de su matrimonio, con la mayor de las discreciones y sin riesgo de ser descubierto por su actual pareja.

Según ha trascendido este ataque que ha puesto en la picota a una enorme cantidad de usuarios, se habría producido por el incumplimiento de Ashley Madison que ofrece eliminar todos los datos de cualquier usuario por 19 dólares, algo que según el grupo de hackers no cumple después.

“Gran parte de la población va a tener un día muy malo. Tenemos el conjunto completo de perfiles en nuestros volcados de la base de datos, y los publicaremos pronto si AM sigue online. Y con más de 37 millones de miembros, la mayoría de EE.UU. y Canadá, un porcentaje significativo de la población va a tener un día muy malo, incluyendo a gente muy rica y poderosa”

Este el mensaje del grupo de hackers que de momento ya ha publicado datos de varios usuarios, que ya han sido eliminados de la red. Sin embargo el miedo sigue metido en el cuerpo de muchos usuarios de este servicio, a la espera de que Ashley Madison tome una decisión o la policía consiga poner fin a todo esto.

Visto en: Actualidad Gadget

Continuar leyendo

Bolivia parte del Latam Tour OWASP 2015

Una noticia que me alegro bastante y me siento orgulloso de publicarla es que este año a diferencia de los anteriores, la comunidad de OWASP Bolivia se ha organizado bastante bien con una excelente estructura y calidad de ponencias donde se ve claramente que a crecido el interés en la comunidad de participar en este tipo de temas que a pesar de los años todavía siguen siendo muy importantes para algunos y poco o nada importante para otros que al final son los que mas lo necesitan.

Como una pequeña introducción obligada para los nuevos, tengo que decir que OWASP es un proyecto de código abierto que tiene bastantes años de aportar a la seguridad del software y con excelentes profesionales de la seguridad que se tomaron el tiempo de compartir con la comunidad sus conocimientos.

La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo relacionados con la seguridad informática. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

Entre los expositores  destacados que conozco participan de esta gestión y sin ánimo de hacer algún desmerito a los que todavía no tuve el gusto de conocer, están:

Gonzalo Nina Mamani
“Sistema para la recolección de información orientado a la mejora en la evaluación de seguridad en aplicaciones Web”

Cristhian Lima Saravia
“Framework Pleni”

Erick Calderon Mostajo
“Herramientas de Aprendizaje OWASP”

Y desde Colombia participa nuestro amigo Jacobo Tibaquira a quien desde Pereira le tenía prometido un viaje a Santa Cruz del cual estoy seguro ahora que con la calidad del pueblo cruceño y de todos los bolivianos que participarán del evento, se llevará un recuerdo inolvidable de nuestra hermosa tierra.

Jacobo Tibaquira
Atacando al atacante (DRAGON JAR)

A continuación les dejo el programa para todos lo que estén interesados en participar de este excelente evento y el enlace a la web oficial para que puedan encontrar mayor información al respecto.

OWASP LATAM 2015 – BOLIVIA

Viernes 17 de abril

Hora Expositor Conferencia País
08:00 – 08:30 Registro – Acreditación
08:30 – 09:00 Video: Mundo Hacker – Proyecto OWASP
09:00 – 09:50 Jaime Iván Mendoza Ribera Análisis de vulnerabilidades web Santa Cruz, Bolivia
09:50 – 10:40 Cesar Roberto Cuenca Díaz Desarrollo Seguro Principios y Buenas Prácticas. La Paz, Bolivia
10:40 – 11:30 Juan Pablo Barriga Sapiencia Riegos en TI Sucre, Bolivia
11:30 – 12:00 Pausa para café
12:00 – 12:50 Walter Camama Menacho MiTM a nivel de browser con beef y metasploit Trinidad, Bolivia
12:50 – 13:40 Leonardo Camilo Quenta Alarcon Seguridad en sistemas financieros. Buenas prácticas de programación y aplicación de pruebas de penetración OWASP La Paz , Bolivia
13:40 – 14:30 Deyvi Bustamante Perez Exploit development Sucre , Bolivia
14:30 – 15:00 Pausa para café
15:00 – 15:50 Gonzalo Nina Mamani Sistema para la recolección de información orientado a la mejora en la evaluación de seguridad en aplicaciones Web Cochabamba , Bolivia
15:50 – 16:40 Hernán Marcelo Leytón Balderrama Seguridad en los Satélites de Comunicación Potosí, Bolivia
16:40 – 17:30 Juan Alberto Fajardo Canaza WAF Testing Framework Potosí, Bolivia

Sabado 18 de abril

Hora Expositor Conferencia País
08:00 – 08:30 Acreditación
09:00 – 09:50 Alex Villegas y Roller Ibanez Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301 Cochabamba, Bolivia
09:50 – 10:40 Richard Villca Apaza Rompiendo el modelo de negocios: Debugging Android Apps La Paz, Bolivia
10:40 – 11:30 Cristhian Lima Saravia Framework Pleni Cochabamba, Bolivia
11:30 – 12:00 Pausa para café
12:00 – 12:50 Elvin Vidal Mollinedo Mencia Los 7 pecados de un desarrollador Web Santa Cruz, Bolivia
12:50 – 13:40 Alvaro Machaca Tola Análisis de riesgos aplicando la metodología OWASP La Paz , Bolivia
13:40 – 14:30 Erick Calderon Mostajo Herramientas de Aprendizaje OWASP La Paz , Bolivia
14:30 – 15:00 Pausa para café
15:00 – 15:50 Daniel Torres Sandi Headers seguros en HTTP Sucre , Bolivia
15:50 – 16:50 Gabriel Labrada Hernandez (INTEL MEXICO) Seguridad en Hardware y los servicios en la nube Mexico
16:50 – 17:50 Jacobo Tibaquira Atacando al atacante (DRAGON JAR) Colombia

La sede de este evento será la prestigiosa Universidad NUR, quien hace bastante años a la cabeza de un grupo de investigadores de seguridad han aportado con este tipo de eventos.

 Owasp Univ

Este artículo fue propuesto por nuestro amigo Cesar Roberto Cuenca Díaz quien dará también una conferencia en el evento sobre “Desarrollo Seguro Principios y Buenas Prácticas“.

Este año estamos bastante ocupados con proyectos fuertes en la empresa y en varios países incursionando en Europa y Asia, pero tenemos como una de las metas para el 2016 volver a Bolivia para participar del OWASP 2016 ya sea como Community SupportersSupporting Partners para compartir con la comunidad nuestras investigaciones y aportes.

Feliz OWASP 2016, que lo disfruten y aprendan bastante de la Comunidad.

Nuestra entrevista para la Revista ITNOW para Centroamérica y el Caribe

A raíz de nuestra conferencia en la FIADI de Costa Rica, justo después de nuestra intervención se nos acercó una periodista para conversar con nosotros y en ese momento no sabíamos que pertenecía a la conocida revista IT NOW, la revista de Tecnología y Negocios mas importante en Centroamérica y el Caribe.

Un tiempo después nos contactó por correo para hacernos una entrevista para su revista y bueno acá les copio el resultado de la entrevista que publicó ITNOW el día de ayer.

———————————————————————————————————————–

White Hats Vs Black Hats

Estamos acostumbrados a los hackers que abren brechas de seguridad en sistemas vulnerables, pero no todos están en el lado oscuro. Aquí dos White Hats nos cuentan cómo protegen las redes.

Por: Quisi Aguilar

shutterstock_160373801-800x768En el mundo de los hackers el objetivo no es solo robar datos confidenciales como lo hacen los conocidos Black Hats o sombreros negros, sino también está la función de proteger esos datos mediante pruebas y soluciones en los agujeros de seguridad que presentan algunos sistemas. Esta función la desempeñan los White Hats o hackers de sombrero blanco.

Por eso nos adentramos en el mundo de dos White Hats, Alvaro Andrade y Rafael Revert fundadores de Ethical Hacking Consultores, quienes trabajan a diario analizando los sistemas de seguridad de las empresas con la ventaja que ellos entregan las vulnerabilidades y explicación de cómo pueden parchearlas o prevenirlas antes de que los Blacks Hats las encuentren para obtener un beneficio económico.

También existen los Grey Hats o hackers de sombrero gris que están en el medio, en algunas ocasiones usan su tiempo como Whites Hats y otras como Black Hats.

En el caso de los White Hats usan las mismas técnicas que los hackers de sombrero negro, solo que para un propósito opuesto, en lugar de afectar una empresa o una red buscan qué vulnerabilidades tiene para protegerla.

 ¿Qué le diría Luke Skywalker a un hacker? Aquí le contamos

 

“Depende mucho del cliente, en el caso de las instituciones bancarias emulamos  ataques de fishing, de malware y fraudes específicos en entornos controlados para que el cliente no tenga un alto impacto y si tiene un alto impacto inmediatamente lo remediamos”, explicó Rafael Revert, director técnico de servicios profesionales de Ethical Hacking Consultores.

A diferencia de los Black Hats, los hackers de sombrero blanco cuentan con tiempo y fechas determinadas para llevar a cabo los proyectos, ya que normalmente los crackers tienen tiempo ilimitado para lograr su objetivo de atacar una empresa.

A nivel mundial las empresas que contratan más servicios de ethical hacking son las gubernamentales debido a la necesidad de protegerse en temas de seguridad con toda la ola de ciberespionaje que ha estado creciendo en los últimos años. Los APT son un ejemplo de ello.

 Le recomendamos: ¿Se puede minimizar el ROI de un hacker?

¿Qué motiva a los White Hats?

“Algo que nos motiva a ambos es poder ver estos sistemas, ponerlos bajo prueba y ataques, uno como White Hat  tiene la motivación de vencer un este reto”, comentó Alvaro Andrade, director ejecutivo de Ethical Hacking Consultores.

Los Black Hat evidentemente tienen la motivación económica o de venganza al interrumpir en un sistema, y tendrán siempre el riesgo de que lo capturen, ya que su trabajo no es legal.

“Nuestra moralidad es más limpia y por eso decidimos irnos por la parte de ofrecer servicios con ciertos conocimientos técnicos avanzados para que atacantes del mismo país o de otro lugar no puedan realizar sus ataques a nuestros clientes, a quienes protegemos con nuestros servicios”, agregó Rafael Revert.

 Conozca: Hackers de cuello blanco

 

Es por ello que estos hackers de sombrero blanco hacen un pen test a sus clientes, con el que antes firman un acuerdo de confidencialidad y un contrato donde se especifican las medidas de seguridad que van a tomar.

“Cada empresa es distinta, eso es la parte interesante de hacer un servicio de ethical hacking donde se encuentra un problema diferente que se debe responder de manera diferente obviamente con los mismos estándares y metodologías que debemos de seguir con el tiempo que nos dicta el cliente, pero también tenemos el tiempo para descubrir cosas como tipos de fallas para que no se le repita al cliente y un atacante no les robe los datos”, explicó Revert.

Al igual que los Black Hat, los White Hat tienen una remuneración económica determinada por el nivel técnico y de conocimiento del hacker, los de sombrero blanco pueden tener buenos ingresos según las habilidades que desarrolle en sus proyectos.

No obstante, de acuerdo con Alvaro un black hat puede encontrar una falla de seguridad que no haya sido reportada en los sistemas escala para plantas nucleares, por ejemplo y darles de baja o desarrollar un malware y  esa falla costaría millones de dólares venderla en la deep web, aunque encontrar una falla así tampoco es tan fácil.

Enlace a la noticia en ITNOW: White Hats Vs Black Hats

Iniciamos el 2015 en Puerto Rico

Una de las gratas noticias que tenemos en Ethical Hacking Consultores es que iniciaremos el 2015 realizando unas consultorias para unos clientes en la hermosa tierra de Puerto Rico.

Iniciaremos el año prestando servicios de Training (Capacitación) y otros servicios especiales para entidades financieras y una empresa de Seguridad en dispositivos electrónicos que nos contactaron en Panamá después de nuestra participación en el VI Encuentro Nacional de Seguridad Bancaria 2014, con quienes tuvimos el gusto de mantener algunas reuniones, cenas y conversaciones previas de donde salió esta oportunidad de viajar a conocer la bien elogiada tierra puertorriqueña.

Como siempre, nos tomamos nuestro trabajo bastante enserio, ya desde hace algunas semanas cuando nos enviaron nuestros pasajes de avión y confirmación del hotel, nos pusimos manos a la obra para realizar pequeños reconocimientos de información tanto a nivel de dominios web, aplicativos web y hardware de seguridad que utilizan por allá para hacerles unas pequeñas demos a nuestros clientes sobre sus mismos sistemas que los dejen con la boca abierta.

Algo que me tiene ya impaciente por llegar, es el hotel donde nos vamos a alojar  “The Condado Plaza Hilton” que ya desde las fotos que tiene en su sitio web te dejan con mas ganas de llegar.

 Hilton-Puerto-Rico

Estamos bastante emocionados con los nuevos retos que vamos a encontrar en Puerto Rico y con seguridad vendrán muy buenas oportunidades de negocios a largo plazo también.

A nuestra vuelta veré de actualizar este post o crear uno nuevo sobre la experiencia en Puerto Rico.

Ebook Gratuito – Guía de Estudio para el CEH Certified Ethical Hacker

Después de muchos correos y amigos que nos pidieron textos sobre el CEH, acá les traigo una muy buena guía de estudio para lo que deseen prepararse para rendir el examen de certificación CEH. Si bien esta guía es para entrenarse para el CEHv6 les comento que es muy completa y les servirá también para la CEHv8 que es la actual con pequeñas modificaciones.

La guía esta muy bien estructurada en cuanto al contenido y cubre todos los temas importantes y claves para lograr la certificación CEH, desde la parte de obtención de información, escaneo de puertos, servicios y vulnerabilidades, hasta la parte de explotación, elevación de privilegios, mantener el acceso y borrado de huellas, con bastantes ejemplos y un examen de auto evaluación de lo aprendido en cada módulo que termines.

Si bien la certificación no es la mas fuerte a nivel técnico como otras del mercado, pero es una de las mas solicitadas a la hora de presentarse para cargos gerenciales y ejecutivos en Seguridad o como Pentester para prestar servicios a terceros, por lo que tenerla es mas que necesario.

Detalles del Libro:

Editorial: Wiley Publishing Inc.
Por: Kimberly Graves
ISBN: 978-0-470-52520-3
Año: 2011
Paginas: 439
Idioma: Inglés
Tamaño: 9.26 MB
Formato: PDF y EPUB

Casos de Éxito – Asociación Bancaria de Panamá

Durante los últimos meses, he recibido buenos comentarios sobre las noticias que publicamos en nuestra web y también varias veces me han reclamado que no publicamos mucha información de lo que hacemos como empresa y es que en nuestro ámbito tampoco se puede publicar demasiado para no incurrir en temas de “Divulgación de Información Corporativa”.

Analizando un poco más a situación decidimos crear una pequeña sección de casos de éxito o casos de estudio donde podamos informar un poco mas sobre los proyectos, servicios y productos que desarrollamos como Ethical Hacking Consultores y que sirvan también para motivar e incentivar a otros a desarrollar soluciones de seguridad a medida o con nuevos enfoques.

En este caso vamos a hablar sobre nuestra conferencia en el “VI Encuentro Nacional de Seguridad Bancaria” que organiza la Asociación Bancaria de Panamá.

conferenciaABP3Empezaremos agradeciendo al Comité de Seguridad Informática de la ABP, que nos invitaron a participar de este interesante y excelente evento.

Hablando un poco más sobre este evento les puedo decir que el Encuentro Nacional de Seguridad Bancaria se realiza una vez al año en Panamá y agrupa a mas de 100 bancos entre los los mas conocidos y grandes a nivel nacional e internacional con más de 300 asistentes representantes de departamentos como Riesgo, Seguridad Informática, Cibercrimen, investigaciones y áreas relacionadas. Sin olvidar mencionar a una buena cantidad de empresas de Soluciones de Seguridad que asisten al evento para promocionar sus productos y servicios, sin duda un excelente lugar para hacer negocios si estas en el rubro bancario.

La charla la preparamos con mi colega Rafael Revert y llevó por nombre “Banking Security Threads”, la cual estaba enfocada en mostrar el pasado, presente y futuro de los ciberataques a Entidades financieras, junto con los nuevos vectores y canales alternos de ataques que todavía no han sido analizados por los bancos pero que con seguridad estarán llegando a afectarlos a partir de este 2015.

conferenciaABPLa charla fue bastante práctica y divertida donde hicimos algunas demos que dejaron bastante asustados e inquietos a algunos bancos, en especial en la parte donde mostramos técnicas como “Hacking desde los POS Bancarios” en la cual logramos acceder a las redes y servidores de varios bancos desde los POS utilizando algunas técnicas de hacking y elevación de privilegios sencillas.

Cada red bancaria a la que logramos acceder no nos tomó mas de 5 a 7 minutos para saltar sus medidas de seguridad inclusive saltando protecciones como Websense, firewalls, IDS, filtros de contenido y listas blancas.

Hablamos sobre los nuevos vectores de ataques que se están generando a nivel de ATMs, ataques desde las smartcards (Tarjetas con Chip) con inyección de malware, infección de banca móvil y creación de botnets bancarias con celulares, ataques de phishing a nivel de GSM, infección de ATMs por el jack de audio y otros vectores que estamos actualmente investigando y analizando en nuestros laboratorios.

conferenciaABP2Al final de la conferencia llegaron los aplausos, las preguntas y desde luego las oportunidades de negocios. Muchos bancos se nos acercaron a tratar temas mas puntuales a quienes vimos de atenderlos y al mismo tiempo generar una relación mas profesional y a largo plazo.

De allí que salieron varios de los proyectos que estamos llevando actualmente en Panamá y en otro países con entidades financieras de las cuales estaremos publicando nuestras investigaciones y resultados sobre seguridad bancaria para compartir el conocimiento.

Nos vemos hasta nuestro siguiente Post de Casos de éxito.

Framework Open Source para el análisis de seguridad de Big Data

Ahora que estamos trabajando a fondo con el desarrollo de soluciones Big Data en la empresa, me encontré con una noticia interesante de CISCO en ingles que me tome el tiempo de traducirla y agregarle algunos detalles que me parecieron importantes la momento de hablar sobre Big Data. Creo que esta nueva herramienta (Framework) ayudará bastante en el desarrollo de soluciones Big Data bajo un esquema de full integración y seguridad.

Los atacantes técnicamente avanzados a menudo dejan atrás la evidencia basada en pistas sobre sus actividades, pero el descubrimiento de ellos por lo general involucra la filtración a través de montañas de logs y telemetría. La aplicación del análisis de Big Data a este problema se ha convertido en una necesidad.

Cisco acaba de sacar su propio OpenSOC Framework para el análisis de seguridad de Big Data.

El Framework OpenSOC ayuda a las organizaciones para hacer a Big Data parte de su estrategia técnica de seguridad, proporcionando una plataforma para la aplicación de detección de incidentes y análisis forense de anomalías sobre el problema de pérdida de datos y otros asuntos.

opensoc

OpenSOC integra elementos del ecosistema Hadoop como Storm, Kafka y Elasticsearch, ofreciendo las siguientes capacidades:

– Indexación completa de captura de paquetes
– Almacenamiento
– Enriquecimiento de datos
– Procesamiento de streaming
– Procesamiento por lotes
– Búsqueda en tiempo real
– Agregación de telemetría.

El hecho de que todos estos datos se proporcionan a través de una plataforma centralizada permite a los analistas de seguridad, detectar los problemas de forma temprana y reaccionar con rapidez. El énfasis está en la entrega de datos que se ejecuta, en tiempo real y todo en un solo lugar para que los analistas no tengan que consultar numerosos informes, fuentes externas y perder un tiempo valioso yendo por datos no estructurados.

Como una solución de código abierto, OpenSOC abre las puertas para que cualquier organización para crear una herramienta de detección de incidentes específicos a sus necesidades.

bigdata2

El marco es altamente extensible, cualquier organización puede personalizar su proceso de investigación de incidentes. También cuenta con los bloques de construcción fundamentales para escalar horizontalmente la cantidad de datos que recopila, almacena y analiza en base a las necesidades de la red.

Para mayor información acerca de la herramienta, tomar el código y ver cómo puedes contribuir con ella, echa un vistazo al Proyecto Oficial y su página de GitHub.