España tipifica como delito los ataques informáticos

El 23 de este mes ha entrado en vigor la reforma del Código Penal. Más información aquí. De especial interés los comentarios de esta y otras entradas, con diversas opiniones para todos los gustos.

[Fuente.: Alejo por email, gracias]

Xornadas Software Libre en GNU/Linux (Facultade de Informática da UDC. 1-3 decembro)

A Oficina de Software Libre (OSL) da UDC organiza unhas segundas Xornadas sobre Software Libre e GNU/Linux aberto a todo o público, pero especialmente destinado a membros da Universidade da Coruña.

Trátanse dunhas xornadas cun enfoque xeral e práctico sobre o software libre, centrándonos especialmente nos sistemas operativos GNU/Linux. A xornadas terán lugar na Aula.Master na planta 0 da Facultade de Informática do Campus de Elviña os días 1, 2 e 3 de decembro a partires das 16:30 h. Dividíronse as xornadas nas seguintes sesións, de 4 horas de duración cada unha:

Día 1 (16:30 - 20:30 h)

* Conceptos básicos
* Un pouco de historia
* Que é GNU/Linux?
* Vantaxes
* Distribucións e Escritorios

Día 2 (ven co teu portátil e libérao) (16:30 - 20:30 h)

* Instalando dende Windows
* Particionando o disco
* Instalación de GNU/Linux Ubuntu 10.10
* Configurando o noso novo equipo

Día 3 (16:30 - 20:30 h)

* Que son os repositorios?
* Conseguindo novas aplicacións de forma sinxela e áxil
* Introdución aos novos programas
* Alternativas libres a aplicacións privativas

As xornadas son gratuítas.

Entrégase certificado de asistencia e aproveitamento das xornadas (12 horas).

Para máis información e inscrición http://softwarelibre.udc.es/Xornadas

Jornadas de Seguridad 2011 (Facultad de Informática de la UDC, 24-26 de febrero 2011)

Toda la información actualizada sobre estas jornadas aquí.

GPU y cracking

El curso pasado publicábamos una serie de entradas relacionadas con el "benchmarking" de funciones hash. Entre ellas destacar.:

- BruteForce Benchmark

- Cracking md5 (BarsWF vs. Caín & Abel) [por David Rouco Vázquez]

- Aclaraciones al report del enlace anterior

Alejo me remite por email una noticia relacionada, sobre el uso de GPUs en el cracking de funciones hash en referencia a estos enlaces "GPU y cracking, qué tarjeta me compro?". Buena memoria, gracias.

ENISE en directo (26 al 28 de octubre)

Esta semana, en concreto del 26 al 28 de octubre, INTECO celebrará la cuarta edición del Encuentro Internacional de la Seguridad de la Información, ENISE, que contará con la participación de ponentes de alto nivel y que se puede consultar en la web del ENISE: http://enise.inteco.es/

Le informamos que podrá seguir en directo a través de videostreaming las sesiones plenarias a través del portal web del ENISE http://enise.inteco.es/ haciendo click en la opción «en directo» que se activará el día 26 de octubre.

Noticia en PSI del evento aquí.

[Fuente.: Inteco por email]

Xornadas Empresa-Protección de Datos-Admnistración Electrónica (Santiago de Compostela. 2-4 novembro 2010)

O Colexio Profesional de Enxeñaría en Informática de Galicia (CPEIG) vai xuntar en Santiago de Compostela no vindeiro mes de novembro a algúns dos máis salientables especialistas en seguridade informática do eido estatal. O motivo será a celebración das Xornadas Empresa-Protección de Datos-Administración Electrónica, que se desenvolven do 2 ao 4 de novembro e que van dirixidas, como o seu propio nome indica, a achegar información útil sobre os mellores métodos a pór en práctica para que as persoas e a súa privacidade non fiquen ao descuberto nas redes.

Info. aquí.

[Fuente.: Alejo por email, gracias]

Instal Party Ubuntu (Fórum Metopolitano A Coruña. 27 outubro)

A Oficina de Software Libre da UDC organiza o día 27 de outubro as 17:00 unha Install Party do sistema operativo Ubuntu 10.10 aberta ao público en xeral no Fórum Metropolitano de A Coruña.

Durante este obradoiro o persoal da OSL axudará e guiará a todos os asistentes a instalar e configurar nos seus portátiles o recen saído GNU/Linux Ubuntu 10.10 co fin de amosar o sinxelo que é realizar a instalación e a rapidez coa que é posible comezar a gozar de todas as aplicacións libres, gratuítas e legais dispoñibles para o seu uso a un simple golpe de rato.

Todo aquel que queira coñecer de primeira man o funcionamento de Ubuntu 10.10 sen medo e da man de expertos na materia que non dubide en inscribirse neste obradoiro gratuíto. Só hai 25 prazas dispoñibles que se cubrirán por rigorosa orde de inscrición.

Para inscribirse acudir a: http://softwarelibre.udc.es/Install

Jornadas de introducción sobre GNU/Linux y software libre para nuevos alumnos 2010

Esta actividad, organizada por el Grupo de Programadores y Usuarios de Linux (GPUL), se celebrará en la Facultad de Informática los días 20 y 21 de octubre de 2010. Toda la información disponible aquí.

¿Cuánto dinero debes gastar en seguridad?

El otro día Alejo me remitía una entrada titulada "¿Cuánto dinero debes gastar en seguridad?". No es una entrada, como se puede suponer por el título, de aspectos técnicos. Sin embargo, incluye unas cuantas frases que aparecen en algunas entradas de las bitácoras de la asignatura de PSI relacionadas con el factor económico. Entre ellas destacar la siguiente.:

- "la cuestión no es gastar más o menos dinero en seguridad; contar con un presupuesto elevadísimo en materia de seguridad no implica estar más seguro, puesto que si se gasta el dinero de manera ineficiente o sin un plan sólido de inversión, es posible que se esté malgastando el dinero e, incluso, exponiendo la compañía a más riesgos y amenazas. Lo más caro no siempre es lo mejor."

A esta se podrían unir otras muchas del tipo, mucho dinero y poco o mal personal = baja calidad

Entrada aquí.

[Fuente.: Alejo por email, gracias]

Importar y exportar máquinas virtuales en virtualbox

Atendiendo una consulta recibida hace un par de días, adjunto lo siguiente. Más fácil imposible:
-------
La importación y exportación de máquinas virtuales en VirtualBox, desde la versión 2.2, pasó a ser algo trivial. Una de las características más interesantes de este proceso es el cumplimiento del estándar abierto OVF. Así podemos importar cualquier máquina virtual que cumpla con este estándar independientemente del software utilizado para su creación. Por ejemplo, podemos importar una máquina virtual exportada desde VMware Workstation o VMware Server. O al contrario, podemos exportar una máquina virtual desde VirtualBox para después importarla en cualquier otro hipervisor.

[Fuente.: http://sliceoflinux.com/2009/09/09/importar-y-exportar-maquinas-virtuales-en-virtualbox/]

PSI 2010-2011.: ¿La cojo, o no?

Estos días estoy recibiendo varios emails con consultas de posibles futuros alumnos sobre diversos temas para decidir si coger o no esta asignatura. Estoy a vuestra disposición para cualquier duda-consulta.

Como resumen, la que más se repite es la procedente de alumnos de la IT en Informática de Sistemas (ITIS). La respuesta, no, PSI no se oferta como optativa en ITIS. Se oferta en la II y la ITIX. En la ITIS se puede coger como libre elección. Es algo duro de entender, especialmente por mi parte. Como curiosidad, en el grado se ha hecho todo lo contrario, se incluye una asignatura de seguridad en el itinerario puro de sistemas, y no en los cuatro itinerarios restantes.

4 Encuentro Internacional de la Seguridad de la Informacion (León-26, 27 y 28 octubre)

El Instituto Nacional de las Tecnologías de la Comunicación (INTECO), presenta un año más la nueva edición del Encuentro Internacional de la Seguridad de la Información (ENISE), que este año se celebrará los días 26, 27 y 28 de octubre en León.

INTECO es una sociedad estatal adscrita al Ministerio de Industria Turismo y Comercio (MICYT) que ha sido concebida como una plataforma para el desarrollo de la Sociedad de la Información en España. Dentro de sus actuaciones, destaca el impulso de la seguridad de la información, en el cual está englobado el evento que aquí les presentamos, y que se ha convertido en un punto de encuentro de referencia para el sector.

La edición de este año tiene como lema Nuevas fronteras en la ciberseguridad y pretende dar un importante giro al encuentro. En las tres primeras ediciones ENISE ha llegado a ser un evento de referencia para la industria de la seguridad de la información a nivel nacional y con la cuarta edición nuestro objetivo es pasar a convertirnos en un gran encuentro de los principales agentes en el campo de la seguridad (industria, I+D, administraciones públicas, usuarios, etc.), tanto de la UE como de Iberoamérica.

Es por ello, que esta edición se centra en los siguientes aspectos:

· Día 26: Esquemas nacionales de seguridad
· Día 27: Libertad, justicia y Sociedad de la Información
· Día 28: Identidad digital

Para más información puede consultar el programa del evento en la página web de ENISE, o solicitar toda la información que considere oportuna en los datos de contacto que figuran al final de este correo.

Si desea asistir, puede realizar la inscripción a través de la página web del evento en el formulario habilitado para ello, teniendo en cuenta los descuentos acumulables que le pueden ser de aplicación:

· Inscripción antes del 30 de septiembre: 10% de descuento
· Inscripción realizada con DNIe: 10% de descuento

Por otro lado, si usted desea participar como ponente o patrocinador, puede solicitarlo a través del formulario de solicitud de ponencia, o a través del formulario de solicitud de patrocinio, también a su disposición en la página web del evento.

Otra novedad de esta edición es el Premio ENISE, que este año va dirigido a reconocer el mejor servicio o proyecto cuya tecnología esté basada en el DNIe. Al premio podrán concurrir las empresas y administraciones públicas, individualmente o en colaboración, presentando cualquier tipo de proyecto, esté o no en funcionamiento en el mes de octubre, en el que se haya utilizado el DNI electrónico como elemento fundamental para la gestión del proceso.

El Tribunal Supremo anula artículos del Reglamento de la LOPD

El Tribunal Supremo (TS) ha anulado los artículos 11, 18, 38.1.a y 2 y 123.2. del Reglamento de Protección de Datos y deja como cuestión imprejuzgada el artículo 10. 2.a y b, el tratamiento y cesión de datos, que eleva como cuestión prejudicial al Tribunal de Justicia de las Comunidades Europeas (TJCE).

[Fuente.: Alejo, gracias]

Vídeos del VI Ciclo de Conferencias UPM TASSI 2010

Información remitida por el Prof. Ramió Aguirre, Criptored.

-----------

Se han subido al Canal YouTube de la UPM los siguientes siete vídeos
correspondientes al VI Ciclo de Conferencias UPM TASSI 2010 celebrado en
la EUITT - EUI del campus sur de la Universidad Politécnica de Madrid, del
23 de febrero al 25 de mayo de 2010:

Vídeo 1
Gestión de Riesgos en Sistemas de Información
Ponente: D. José Antonio Mañas Argemí
Catedrático del Departamento de Ingeniería de Sistemas Telemáticos, ETSIT UPM
VI Ciclo de Conferencias UPM TASSI: 23 de febrero de 2010
Vídeo: http://www.youtube.com/watch?v=-lbbPJd_adE

Presentación PDF en:
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010

Vídeo 2
Seguridad de las Comunicaciones en las Futuras Redes Vehiculares
Ponente: Dña. Pino Caballero Gil, Directora del Proyecto MUOVE,
Universidad de La Laguna, Tenerife
VI Ciclo de Conferencias UPM TASSI: 9 de marzo de 2010
Vídeo: http://www.youtube.com/watch?v=QqQQqdnETFc

Presentación PDF en:
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010

Vídeo 3
Confianza en la Sociedad de la Información en España
Ponente: D. Víctor M. Izquierdo Loyola, Director General Instituto
Nacional de Tecnologías de la Comunicación INTECO
VI Ciclo de Conferencias UPM TASSI: 23 de marzo de 2010
Vídeo: http://www.youtube.com/watch?v=KGU3GvIW1C8

Presentación PDF en:
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010

Vídeo 4
Ciberdelincuencia e Instrumentos para Combatirla
Ponente: D. Manuel Vázquez López, Comisario Brigada de Investigación
Tecnológica del Cuerpo Nacional de Policía
VI Ciclo de Conferencias UPM TASSI: 23 de marzo de 2010
Vídeo: http://www.youtube.com/watch?v=KF6_fI31FvI

Vídeo 5
La hora de los hackers. Los delitos de intrusismo y vandalismo informático
en el proyecto de reforma del Código Penal
Ponente: D. Carlos Sánchez Almeida, Bufet Almeida, Abogados Asociados
VI Ciclo de Conferencias UPM TASSI: 27 de abril de 2010
Vídeo: http://www.youtube.com/watch?v=PcsssAXN4hA
Artículo en: http://www.kriptopolis.org/la-hora-de-los-hackers

Vídeo 6
Privacidad y Libertad de Expresión en la Era de Internet
Ponente: Dña. Bárbara Navarro, Directora de Relaciones Institucionales de
Google España
VI Ciclo de Conferencias UPM TASSI: 11 de mayo de 2010
Vídeo: http://www.youtube.com/watch?v=MMN9ZV5jJxg

Presentación PDF en:
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010

Vídeo 7
Hacia un Nuevo y Más Amplio Concepto de Seguridad: La Seguridad Integral.
Ponente: D. José Lucio González Jiménez, Director
Gerente de Cluster TIC Seguridad y Confianza Madrid Network
VI Ciclo de Conferencias UPM TASSI: 25 de mayo de 2010
Vídeo: http://www.youtube.com/watch?v=qxoFcya2o8k

Enlace a todos los vídeos del ciclo:
http://bit.ly/caiiRw

Avaliación Docente

Información remitida por el Rectorado.
-------------------
A Avaliación Docente pecharase o vindeiro 4 de xullo. Participa e anima aos teus estudantes para que a fagan. Entra en www.udc.es/avaliemos
-------------------

lockpicking

Este año en PSI hemos tratado muchos temas. Uno de los que ha salido referenciado es el llamado "lockpicking". Se adjunta una entrada que incluye una de las biblias de "lockpicking".

[Gracias Borja]

Resultados PSI 2009-2010

RESULTADOS DE PSI.:

Aprobados = 36
Suspensos = 14

A los que han superado la asignatura, no olvidaros de mí, y cualquier buena noticia en seguridad, un forward es rápido. Y si alguno termina trabajando en seguridad de la información, me gustaría estar informado.

A los que no han superado la asignatura, nos vemos en la siguiente convocatoria. Y estoy a vuestra disposición para lo que queráis.

Mi especial enhorabuena a DRV e ILG.

Mañana colgaré la relación de notas en el tablón de la Facultad.
Los días 14 y 15 (11 am.) serán las revisiones de exámenes.

Curso de verán sobre Ferramentas de Seguridade en GNU/Linux na Universidade de Vigo (21-25 xuño)

Toda la información aquí.

[Fuente.: Alejo]

Aclaraciones al report Cracking md5 (BarsWF vs. Caín & Abel) [por David Rouco Vázquez]

David Rouco, autor del report "Cracking md5 (BarsWF vs. Caín & Abel)", me remite la siguiente aclaración, de gran interés, que adjunto literalmente.

"Un compañero me ha preguntado, después de leer el report de cracking MD5, el motivo por el que esas utilidades van a varios millones por segundo, y el John the Ripper "sólo" crackea unos pocos miles de shadow-passwords por seg cuando teóricamente es sólo el hash salteado. Como me ha parecido interesante se lo he resuelto, y también te lo envío a ti por si te parece que deberías hacer una especie de aclaración en el blog, por si alguien más se lo pregunta. El motivo es que en la función crypt() típica de nuestras distribuciones, que es la que se usa para que dada una cadena devuelva su correspondiente shadow, existe un bucle que realiza 1000 iteraciones calculando md5 sobre el md5 previamente calculado, como verás por ejemplo en
http://dev.freenode.net/hyperion/trunk/src/md5crypt.c (aquí es sólo para md5, pero crypt() vale para todas las funciones definidas). Este bucle, es sólo para este propósito (en principio, porque ahí las colisiones son "imposibles"), evitar ataques por fuerza bruta, con lo que si en un futuro las máquinas fueran 1000000 de veces más rápidas, "sólo" tendrían que incrementar el nº de iteraciones hasta 10⁹ para que siguiéramos como hasta ahora."

V Jornadas de Reconocimiento Biométrico de Personas (Huesca, 2-3 septiembre)

Toda la información en http://jrbp10.unizar.es/


Y si asistes a estas jornadas, sería un gran pecado no hacer una visita a uno de los lugares más espectaculares del planeta, la Sierra de Guara, a media hora de Huesca.

La caza del analista (elTopo) [por Adrián Portabales & José Manuel Santorum]

Report.: La caza del analista (elTopo)

Autores.: Adrián Portabales & José Manuel Santorum
Resumen.: Hablamos sobre distintas herramientas posibles desde el momento que se nos propone este supuesto, hasta que decidimos crear la nuestra propia (código fuente de elTopo). Como anécdota contare que una vez terminado este report, nos hemos dado cuenta que basicamente lo que hemos creado ha sido un troyano para linux, que incluso podremos configurarlo para conexion inversa como del que hablan Cristóbal Blanco y Jorge Souto en su report Malware con conexion inversa.

Resumen del Supuesto.: Somos directivos de un pequeño departamento de servicios informáticos de una empresa y sospechamos que uno de nuestros analistas de sistemas está boicoteando alguna de las máquinas que administra.

Ataques a IPv6: THC-IPv6 (por Juan Rodrigo Cantorna)

Report.: Ataques a IPv6: THC-IPv6
Autor.: Juan Rodrigo Cantorna
Resumen.: En este documento se explica de forma breve el funcionamiento de algunos ataques posibles a IPv6 utilizando el paquete de herramientas THC-IPv6.

Introducción al pen-test con w3af (por Javier Rey Fernández)

Report.: Introducción al pen-test con w3af
Autor.: Javier Rey Fernández
Resumen.: "Pentesting", tal vez alguno hayáis oído hablar de este término, a otros os sonará a chino, sin embargo si os hablo de realizar test de intrusión ya os suena a muchos más, seguro. Mediante esta pequeñita introducción vamos a ver de qué se trata y cómo podemos hacer un pequeño estudio de una aplicación web totalmente vulnerable. Esto lo haremos en nuestro Dojo, donde entrenaremos para hacernos fuertes y ayudados de nuestra poderosa arma W3af intentaremos convertirnos en los buenos más malos o en los malos más malos.

Mi disco duro hace ruido, debe estar malito, ¿qué le pasa?

El otro día me preguntabais por el enlace del pequeño simulador de averías en discos duros y el ruido generado. Lo tenéis disponible en http://www.drivesaversdatarecovery.com/ep/drivesaver-the-first-online-hard-disk-drive-simulator/. Además de este enlace, Adrián me ha remitido otro con una completa colección de ruidos de DD con problemas (http://datacent.com/hard_drive_sounds.php) [gracias por la información]
Mi disco duro hace en arranque el ruido de clicker failure. ¿Cómo se repara?

Computational Intelligence in Security for Informatión Systems (CISIS 2010. León. 11-12 noviembre)

Información.: http://gicap.ubu.es/cisis2010/home/home.shtml

Bifrost.: Malware con conexión inversa (Por Cristóbal Blanco Martínes & Jorge Souto Costoya)

Report.: Bifrost y conexión inversa
Autores: Cristóbal Blanco Martínez & Jorge Souto Costoya
Resumen.: No remitido, aunque el título es auto-explicativo.

Cracking md5 (BarsWF vs. Caín & Abel) [por David Rouco Vázquez]

Antes de nada, aunque esta entrada la etiquete como criptografía, recordad que las funciones hash no son algoritmos criptográficos.

Report.: Cracking md5 (BarsWF vs. Caín & Abel)
Autor.: David Rouco Vázquez
Resumen.: En esta entrada traemos un nuevo report. Se podría iniciar con "en la esquina izquierda, con 80kgs. de peso, etc., etc..", a modo de combate de boxeo. Aunque mucho mejor dedicarle una lectura a este report en el que, entre otras cosas, y con un lenguaje muy coloquial, se hace una comparativa entre BarsWF y Caín&Abel en la tarea del cracking de hashes md5.

Últimas bitácoras de PSI

Sobre las últimas bitácoras de PSI, para evitar redundancia de información, y ante unos minimos cambios respecto a las del curso anterior, están disponibles bajo la etiqueta bitácora, para un rápido acceso.

Pdt.: Ojo con las respuestas del exámen tipo test del año pasado.

Sistema videovigilancia casero

Al final de la clase de hoy me habéis preguntado por un sistema de videovigilancia casero. Existen varias entradas para las típicas webcams con sistemas caseros y software free. Entre las múltiples.:

- http://es.onsoftware.com/p/como-montar-un-sistema-de-videovigilancia-casero
- http://lacomunidad.elpais.com/securite-vs/2009/6/24/consejos-macgyver-sistema-videovigilancia-casero
- http://otroblogmas.com/surveillance-scan-ii-videovigilancia-casera-con-una-webcam/
- http://www.linuxeando.org/foros/index.php?topic=1176.0

Recuerda que son sistemas caseros. Pueden servir para ver las imágenes, o fotografías, desde un navegador en internet. Recuerda que el proceso debe ser autenticado y controlado en acceso, para evitar que terceras personas puedan acceder, o utilizarlo para ganar privilegios en el sistema.

También la iluminación es otro factor a cuidar, así como la alimentación eléctrica del sistema, entre otros. Si se va la luz, o la cortan, fin del sistema. Finalmente, de nada nos sirve poder observar en remoto. La información, vídeo o fotografía, ante la detección de movimiento, debe ser almacenada fuera del equipo, en remoto. En otro caso es posible que nuestro ladrón se llevase el equipo y toda grabación realizada.

Espero que esto sea suficiente para lo que quieres montar,

Md5 bruteforce benchmark

Teniendo constancia de que a alguno de vosotros le gusta el bechmarking en ataques de fuerza bruta, y siendo consciente de que posiblemente vuestras pruebas no las dejaréis plasmadas en un report, aquí os dejo una referencia de md5 bruteforce bechmarking.

Bueno, parece ser que la entrada ha surtido efecto, y pronto dispondremos de un nuevo report de benchmarking de herramientas en el cracking de md5. Será interesante ver la comparativa.

Algunas pruebas contra servidores DNS (por Adrián Barbeito Prego)

Con esta entrada iniciamos los report remitidos por algunos de vosotros con pruebas en distintos ámbitos de la seguridad. Se incluyen los report originales, sin ningún tipo de cambio.
----------------------------------------------
Report.: Casos comunes de ataques a servidores DNS y pruebas con ADM DNS
Autor.: Adrián Barbeito Prego

Resumen.: En el siguiente documento se explican de forma sencilla los casos más comunes que nos podemos encontrar de ataques a nuestros servidores DNS. Además a modo práctico se ilustra el funcionamiento de las herramientas más interesantes de la suite ADM (disponible en packetstorm o directamente en backtrack) para atacar a un DNS. Se prescinde de ejemplos de MitM ya que hay herramientas más interesantes como ettercap (y mucha información por la red) y no es un ataque directo contra el servidor.

Seminario sobre Soluciones de Almacenamiento Oracle (25 mayo-Madrid)

Fecha y Datos de lugar
25 de mayo 2010
Madrid
c/Serrano Galvache, 56
Centro Empresarial Parque Norte
Edificio Abedul (Sala Java)

Agenda
10:00 a.m Registro
10:30 a.m. Introducción
Consideraciones del Almacenamiento en entornos de Oracle: El papel de las Soluciones de Almacenamiento
11:00 a.m. Sistemas de almacenamiento Oracle/Sun y ejemplos de implantación:
- Sistemas de Almacenamiento para Protección de Datos.
- Sistemas de Almacenamiento para ConsolidaciónSun.
12:00 a.m. Oracle Database 11g
Soporte de Alto rendimiento para todo tipo de Datos
13:00 a.m. Puesta en marcha y siguientes pasos

Date 25-May-2010
Starts At 10:00 am
Venue Centro Empresarial Parque Norte, Edificio Abedul (Sala Java)
Street Address c/Serrano Galvache, 56
City Las Rozas
Zip 28230
Country Madrid

Más información aquí

I Xornadas de Informática Xudicial e Delitos Informáticos (A Toxa-Pontevedra. 5 de xuño)

Información.: http://www.cpetig.org/blog/?p=763
Fuente.: Alejo

Bitácora de PSI.: ¿Cómo está el paciente?

¿Cómo detectar ciertos eventos y situaciones en nuestras máquinas?". Entre otras posibilidades, registros de auditoría y monitorización a todos los niveles.

Ante problemas de funcionamiento, prestación de servicios, "performance", etc. en nuestros sistemas existen dos posibilidades de actuación.:

- No hacer nada y que sean los propios usuarios de nuestros sistemas los que, cuando un sistema presente un mal funcionamiento o una degradación en sus prestaciones, nos avise.

- Disponer de distintos sistemas de monitorización y alarmas en los sistemas administrados o, al menos, en servidores relevantes. Señalar que en este punto no estamos hablando de sistemas como puedan ser los I[D,P]Ss, que entrarían en otro apartado relacionados con la monitorización y detección-prevención de intrusiones, o los sistemas de análisis de vulnerabilidades.

La primera opción supone tener que curar a un paciente cuando está en una situación crítica, sin contar todas las implicaciones de prestar un mal servicio a nuestros usuarios-clientes. Bajo ningún concepto debemos proceder de esta manera. En todo momento deberemos pensar en un mínimo de herramientas que nos faciliten la monitorización de los sistemas.

En este punto, iniciamos la aventura con las opciones básicas de "accounting" de procesos y usuarios.

El clásico paquete acct nos proporcionará unas herramientas básicas de monitorización de procesos y usuarios. Comandos como el ac, lastcomm, sa, last, lastb, entre otros, nos proporcionan algunas posibilidades básicas. Se estudian los parámetros de salida de los mismos.

En un segundo nivel se analiza el paquete sysstat como herramienta básica de monitorización de los distintos subsistemas gestionados por los sistemas operativos de nuestras máquinas, tanto en "tiempo real" como sobre bases de datos históricas, que nos permiten analizar el "performance" de las máquinas en cualquier momento pasado.

En toda monitorización un parámetro que debemos definir es el período de muestreo. Obviamente este deberá ajustarse a los objetivos de los posibles estudios sobre las muestras. Señalar que toda monitorización también supone una sobrecarga en el sistema que, de ser necesario, debería cuantificarse. En el marco del paquete sysstat se analiza la salida obtenida por los comandos iostat, mpstat, sar, top, vmstat y free, así como las opciones para garantizar el muestreo histórico de parámetros del sistema y el tratamiento de los mismos por los "scripts" sa1, sadc y sa2. También se incluye el comando sadf para exportar los datos a CSV o XML. Nuevamente se analizan los principales parámetros de salida de todos ellos.

Se incluye una herramienta no menos importante, la ISAG (Interactiva System Activity Grapher) que, sobre un entorno gráfico permite seleccionar un fichero del subsistema sysstat en binario (saXX) y mostrar los datos de muestreo históricos de forma gráfica. Sin duda alguna estos gráficos nos proporcionan de una forma visual mucha información sobre la evolución del "performance" en los distintos subsistemas gestionados por el sistema operativo.


Para concluir, señalar que de nada nos sirve disponer de muchos datos sin una cierta capacidad de análisis y, o, sistemas de alarma. Es necesario "conocer" las salidas producidas y las posibles interacciones e implicaciones de las mismas para, con ellas, sacar conclusiones que nos permitan tomar decisiones. Nuevamente llegamos a la “palabreja” que aparece cada poco en la asignatura, "tomar decisiones". Sin duda alguna, el profesional que nunca toma decisiones, o hace que sean otros los que las tomen, nunca se equivocará. Pero este es otro de los muchos puntos que diferencia un buen profesional de uno mediocre. Todo responsable del sector TIC debe potenciar a aquellos profesionales que toman decisiones y, muy especialmente, a los que asumen las posibles responsabilidades de las mismas, incluso en los casos no acertados.

Seguimos con comandos básicos de ayuda a la monitorización. Entre ellos, uname, uptime, time, ps, vnstat, df, du, who, gprof, ping, traceroute, etc., etc. Otro conjunto de comandos evolucionados lo constituyen dstat, iftop, tcptrack, vnstat y atop. Se presenta la utilidad y salida de dichos comandos, sin entrar en posibles opciones. Para más información, juega un poco con ellos.

Otro ámbito de herramientas es del chequeo de integradad. Entre ellas sxid, tripwire o ViperDB.

Entre los muchos apartados de la práctica 2 (parte II), de las posibles opciones de uso, el tripwire y el vnstat os permitirán resolver un par de ellos.

Hasta este punto hemos visto herramientas de monitorización de equipos, sin pensar en las posibilidades de entornos centralizados de monitorización de un gran número de activos. Aunque se podrían desarrollar soluciones propias con lo visto, en la actualidad existe una gran cantidad de herramientas para dicha tarea. Entre ellas, Pikt, zabbix, munin, Nagios (mini-howto nagios), NTOP. MRTG (Multi Router Traffic Grapher) y OSSIM (Open Source Infraestructure for Security Monitoring). De forma generealizada estas herramientas o hacen uso de agentes propios en el lado cliente o del protocolo de gestión SNMP (Simple Network Management Protocol), con o sin soporte de las MIB (Management Information Base).

"De nada sirve disponer de todo tipo de sistemas de monitorización, "logs", sensores, analizadores de vulnerabilidades, sistemas de alarma más o menos inteligentes, etc. en entornos en los que nadie analiza la información y, como mínimo, atiende las alarmas (a mano o a máquina). Tener este tipo de sistemas está muy bien pero, sin duda alguna, requiere un cierto control de toda la información y alarmas generadas".

Bitácora de PSI.: Who is who & Metallica is metallica

La segunda parte la dedicamos a introducir distintos organismos y su aportación al mundo de la seguridad y, en especial, a su estandarización.

Iniciamos esta andadura con el NIST (National Institute of Standars & Technology) y se presentan algunos de sus principales Federal Information Processing Standards (FIPS), o la National Vulnerability Database (NVD), como herramientas de gran relevancia en PSI.

El Institute for Security and Open Methodology (ISECOM) también pone a nuestra disposición un buen conjunto de metodologías y desarrollos en "compromise detection", "secure programming", "security politics", "security testing", etc.

En un tercer bloque analizamos algunos de los estándares en seguridad de la ISO. Partimos de la ISO27001, que se centra en la gestión de la seguridad de la información, e ISO27002, sobre buenas prácticas en seguridad en la forma de objetivos de control y controles recomendados. Obviamente ambos estándares son complementarios. Finalizamos la aventura de la ISO con las ISO27003, 05 y 11.

Otras grandes aportaciones como el Standard of Good Practice for Información Security del Information Security Forum (ISF). En casa también tenemos la Metodología de Análisis y Gestión de Riesgos de SS.II (Magerit para los amigos), desarrollado por el Consejo Superior de Administración Electrónica. Y no debemos olvidarnos de su amiga Pilar.

Para finalizar, se hace referencia al CCN-CERT, CNI, esCERT, IRISCert e Inteco, como algunos de los organismos directamente vinculados con el mundo de la seguridad en tecnologías y la respuesta ante incidentes.

Las metodologías pueden llegar a resultar aburridas, pero nos proporcionan un camino para no olvidarnos de nada, especialmente de lo más importante. Ser autodidacta está muy bien, pero ser un autodidacta con metodología es mucho mejor.

"Cuando has experimentado con un buen montón de ataques, métodos y herramientas en seguridad, las metodológicas te proporcionarán la energía y el orden necesario para conseguir un cierto nivel de equilibrio-abstracción de nivel superior en la profesión. Como es lógico, todo requiere su tiempo"

Bitácora de PSI.: Fuerza Bruta, o Pseudobruta (parte I)

En la primera parte de la clase se ha cerrado el tema de D[D]oS. Se hace referencia a algunos de los ataques DoS como slowloris o TCP socktress. También se incluyen algunas de las herramientas de *stress existentes en distintos niveles de aplicación.

Aunque otros años no le hemos dedicado ni un minuto a los ataques de fuerza bruta, o pseudo fuerza bruta, en el cracking de passwords, este año se ha incluido un apartado. Esta segunda parte se ha estructurado en dos partes, el password cracking y el passwords guessing.

Se analiza el formato de nuestros hashes salteados de passwords en el shadow y, entre otros, el concepto de colisión. Se juega un poco con el amigo john, no el largo, el otro, y las posibilidades en la generación y uso de diccionarios, mutaciones y fuerza bruta total, o parcial.

Formato del shadowing de nuestros sitemas.:

El $1$ inicial indica que se ha utilizado un hash md5
Nuestros squeeze por defecto han evolucionado, y ahora presentan un $6$ (todo es reconfigurable), pasando a utilizar SHA-512
Los 8 caracteres siguientes son el salt utilizado
Un $ como separador del hash del password salteado

Sobre el guessing de passwords, se analiza la problemática principal en este tipo de ataques, los mecanismos de control y filtrado, etc. Y aunque nunca se habla de política en clase, en esta ocasión no nos ha quedado más remedio que hacer referencia a la política de passwords. Finalmente se introducen las herramientas medusa, thc-hydra y ncrack. Se utiliza la herramienta medusa para ver los módulos de guessing que integra y sus posibilidades.

Después de analizar los ataques, nos centramos en las posibilidades de protección, por ejemplo con BFD, APF y, en DoS, DDoSdefalte. Existen otras posibilidades como fail2ban, etc. En todos los casos se pasa por el análisis de otro de los temas tratados en PSI, los registros de los sistemas o logs.

Bitácora de PSI.: Una de zombies

Como segundo ejemplo de categorías de ataques, iniciamos una historia de zombies, como siempre, de buenos, malos y regulares. Estamos en el mundo de la interrupción, de la denegación de servicio. Esos bichos voraces que comen y comen recursos hasta destrozarle las vísceras a la víctima. Si te apasiona la historia te recomiendo la lectura de.:

- A Summary of DoS/DDoS Prevention, Monitoring and Mitigation Techniques in a Service Provider Environment, de Michael Glenn, SANS Institute

- Network DDoS Incident Response Cheat Sheet de Lenny Zeltser

En estas dos entradas obtendrás los conceptos básicos del DoS y DDoS. Recuerda que las técnicas de DDoS han evolucionado y, en la mayoría de los casos, unido a estas arquitecturas se combina una gran cantidad de ataques por inundación que, además, también integra todo tipo de tráfico del nivel de aplicación.

Distintos proveedores TIC proporcionan sistemas de "aprendizaje" vinculados al tráfico legal vs. tráfico DDoS, así como herramientas de detección y "limpieza" de tráfico. No incluyo referencias por no hacer publicidad. Si te interesa el tema, hay diversas soluciones y enlaces al respecto.

En clase se analizan distintas aproximación del D[D]oS, así como variadas soluciones ante los ataques de este tipo, tanto a nivel de sistemas, como de red y aplicación.

Bitácora de PSI.: Cerramos capítulo *jacking

Iniciamos la clase con algunas herramientas básicas de red, como ngrep o netsed.

Si en la clase anterior analizamos un ejemplo en el ámbito del freejacking, hoy hemos dedicado el resto de la clase a tres de las técnicas existentes en el llamado wavejacking.

Horario de laboratorio PSI extra

Me indican del CECAFI que el laboratorio de PSI está disponible en el horario extra seleccionado.:

Martes - Miércoles - Jueves de 19:30 a 21:30

Como diría Gabinete, que Dios siga repatiendo suerte

VIII Foro de Seguridad RedIRIS (disponible en video almacenado)

El Foro de Seguridad 2010, celebrado los días 22 y 23 de abril en la Facultad de Económicas de la Universidad Autónoma de Madrid, organismo que colabora con RedIRIS en la organización del evento, se centra en las diversas normativas de seguridad que han ido surgiendo en diversos ámbitos y que afectan en mayor o menor medida a las instituciones.

Doy por supuesto que todos los alumnos de PSI conocen la vida y obras de RedIRIS. En caso negativo, dedícale un rato a navegar por http://www.rediris.es. Después de esto deberás tener conocimiento de varios temas del tipo, ¿qué es la red GÈÀNT2?, ¿qué troncales de RedIRIS interconectan Galicia?, ¿qué anchos de banda tienen?, etc., etc., etc. Recuerdo que hace un montón de años tuve la suerte, o la desgracia, según se mire, de ser PER de la UDC. ¿Qué es un PER?. ¿Qué complemento salarial tiene un PER?.

En http://www.rediris.es/difusion/eventos/foros-seguridad/fs2010/agenda.html tienes el programa del Foro de la Seguridad con varias de las sesiones disponibles en video. En el caso de que decidas colocarte delante del equipo y asistir a lo que en ellas se dice, verás cosas relacionadas con.: Grey Goose y bases de datos de malos (¿quiénes son los malos?), bootnets, darknets, metodologías de análisis de riesgos, Magerit, conocerás a Pilar, LOPD, ISO 27001 y 27002, RD1720/2007 y descubrirás algunos aspectos del Esquema Nacional de Seguridad.

--
Sed buenos ... si podéis, para no terminar en alguna base de datos de malos (-:

Información complementaria (cuando salimos de nuestra redes de edificio)

Sin duda alguna, la temática de PSI está vinculada con la totalidad de asignaturas de nuestra titulación, aunque con algunas mucho más que con otras. En una asignatura cuatrimestral no se puede salir del guión para no derivar en temáticas fuera de la PSI, o directamente vinculadas a otras asignaturas. Pero siempre quedan las referencias para el que tenga unas grandes dosis de curiosidad y quiera explorar el mundo. Hoy un alumno me remitía un email con una referencia sobre redes de agregación. También te recomiendo la entrada Metro Eth. Siento no poder dedicar tiempo en PSI a estos temas, pero se salen sustancialmente de la temática de la asignatura.

--
Gracias FJRR,

Bitácora de PSI (fecha estelar 23-04-2010).: Nos vamos de taping

Hoy hemos hecho algo que nos gusta mucho, irnos de taping, que es distinto al tampering. La primera mitad de la clase la dedicamos a este gran deporte y, la segunda, al freejacking de nuestras redes.

--
Algunas costumbres nunca deben desaparecer

Conexiones inversas

Hace unas cuantas clases dedicamos unos minutos a las conexiones inversas. Entre otros muchos bichos, se referenció PosionIvY y BitForst.

Hoy Alejo me remitía varias noticias de seguridad, una de ellas referente al PoisonIvY que, por referencias, la adjunto. [Gracias]

Noticia.: Un troyano que permite espiar al atacante

Bonus Extra (horario complementario de laboratorio de PSI)

Para los que han pedido horas extra de laboratorio de PSI, no remuneradas, al menos económicamente en el corto plazo, estará disponible, además del oficial, el siguiente.:

Martes - Miércoles - Jueves de 19:30 a 21:30

Como diría Gabinete, que Dios reparta suerte

Bitácora de PSI.: Póntela, pónsela

Analizada la problemática del "sniffing", es la hora de hablar de protección (póntela, pónsela).

Iniciamos esta nueva aventura con dos posibilidades de detección, la primera mediante IDSs, IPSs, sensores y demás familia a nivel de red integrados en la forma de "hardware" dedicado y, la segunda, mediante el uso de "mirroring" entre puertos de los activos de red (port span), y el uso de I[DP]Ss y demás familia asociados en el ámbito freeware. La posiblidad de "port span" de varios puertos, o toda una VLAN, contra un puerto, facilita las tareas de detección a nivel de red con un mínimo gasto. Para evitar cuellos de botella se puede asociar el "port span" al "trunk" de puertos. Obviamente, esto supone un coste para la matriz de conmutación del activo y de posibles cuellos de botella. A nivel operativo, se muestra la implementación de "port span" en los activos cisco.

Otro aspecto a considerar se debe centrar en evitar los llamados "reinos de taifas". Aspectos de importancia como la definición de VLANs, segmentación, filtrado, "firewalling" y seguridad perimetral (no es la panacea pero ayuda), I[DP]Ss, cifrado [a nivel 3 o de aplicación], control-administración total sobre las máquinas de la organización, entro otras, están siempre presentes.

Supongamos una organización que ha invertido muchos recursos en seguridad (€ y humanos), y que presumiblemente todo parece bien organizado y securizado. Dentro de sus muchas redes, servidores y cientos de PCs, un día un usuario con capacidades de administración en su equipo ubicado en una red interna, sea directamente o mediante el uso de un "live-cd", decide conectar su equipo a internet por medio de una conexión propia (cable, 3G+, etc.), pudiendo montar todo tipo de software, proxys, NAT, etc., que enmascare las conexiones exteriores. Claramente tendríamos un problema. Sin el control total de todos los equipos es prácticamente imposible detectar este tipo de actuaciones. Unido a esto, es aconsejable tener una política de seguridad, que incluya un acuerdo firmado con el personal en el que quede claramente reflejado lo que se puede y no se puede hacer. Dejar las normas claras es la mejor herramienta de trabajo, tanto para los directivos de las empresas y departamentos, como para los propios trabajadores.

Un sistema comprometido debe tratarse como tal. No es normal ver que "profesionales" que detectan en su organización sistemas comprometidos, o que tienen un comportamiento poco normal, los dejen como última tarea en su ponderación de trabajos, y que pasen los meses y dichos equipos sigan en la misma situación. Claramente están comprometiendo la información de todos los usuarios y de otros muchos sistemas. El buscar un equilibrio-acuerdo con el no-invitado, y no hacer nada a no ser que el sistema deje de funcionar o dar servicio, no es aceptable. Recuerda que hay que seleccionar entre la "pastilla roja" o la "azul", y que en muchas ocasiones "la ignorancia es la felicidad". Sin duda alguna nadie es infalible, ni mucho menos, pero debemos poner lo que esté en nuestra manos para solucionar problemas, antes de generar otros nuevos. No hemos hablado de ingeniería social en clase, otra de nuestras amigas inseparables, pero siempre deberá estar muy presente.

Continuando con los mecanismos de seguridad analizamos el llamado "port security". Antes de nada, se estudia el funcionamiento de los conmutadores de red y la forma en la que gestionan las conexiones a nivel 2. Además, se muestra la implementación de "port security" en los activos cisco, sus opciones, implicaciones y la necesidad de su integración en los sistemas de gestión de red.

Se presentan otras herramientas de gran utilidad contra el "ARP Spoofing", como "arpalert", "darpwatch", "xarp" y "arpwatch". A nivel operativo, se analiza el funcionamiento de "arpwatch", su configuración y esquema de funcionamiento.

--
- La curiosidad mata la ignorancia
- La curiosidad impulsa a los seres a buscar la información y la interacción con su ambiente natural y con otros seres en su vecindad
- El estilo de vida de las ciudades es un claro enemigo de la curiosidad

FIConLAN (Party de la FI-UDC) [14..17 mayo]

- Información de FIConLAN

- Página de FIConLAN (próximamente disponible)

Como bien se apunta en quegrande, nada de invitar a los que utilizan el papel para publicar sus posts.

keyloggers y tempest

En entradas anteriores hemos incluido alguna referencia a ataques tempest bajo el título "puede una página web levantarte dolor de cabeza o quitarte el sueño".

En esta traigo una noticia relacionada con ataques tempest, pero en este caso relacionadas con señales acústicas, en lugar de electromagnéticas.

De forma resumida, el procesado del registro audio de las pulsaciones de teclado pueden actuar de keyloggers.

Bueno, hasta la fecha se había convertido en frecuente ver a nuestros políticos taparse la boca al hablar por móvil, y pronto veremos silenciadores de teclados, o dispositivos similares.

Noticia por fuente M. Faúndez

Bitácora de PSI.: Sniff...

Se inicia una nueva aventura que, unida al tema de categorías de ataques, nos llevará a seleccionar dos casos para estudio. El primero de ellos se centra en la categoría de intercepción y, como no, hablamos del “sniffing”.Se recuerdan algunos conceptos básicos (paquetería de red, comunicaciones en medio compartido y medio conmutado (swtiched)], los objetivos y utilidades del “sniffing” [tanto las del lado oscuro, como las del lado de la luz], etc. Aunque en nuestros LANs cableadas el medio compartido casi ha desaparecido, con la llegada masiva de las WIFIs, el aire se ha tornado en un claro elemento de medio compartido.

Antes de iniciar esta nueva aventura de "sniffing", también se hace un repaso al concepto de segmento de red y VLANs, incluyendo la descripción de protocolos como el 802.1q, 802.1d, o los conceptos de "trunking" y la gestión de varios interfaces virtuales sobre un interface físico, entre otras (si alguien quere hacer pruebas con alguna de las posibilidades-herramientas en seguridad existentes en este ámbito, como puda ser yersinia, y hacer un pequeño report, será bievenido para su publicación en el blog)

Se analizan las técnicas básica de "sniffing" en redes de medio compartido. En este punto se trata el concepto de interface en modo promisc, y sus implicaciones. No se le dedica mucho tiempo. Los HUBs prácticamente han desaparecido. En el ámbito de las redes WIFIs, analizamos el handshake utilizado en WPA y alguna de sus posibles debilidades.

Se estudian las implicaciones de un sistema comprometido, en el que no podremos fiarnos de nuestros sentidos, lo que vemos o procesamos, y la necesidad de integridad en nuestros sistemas. En la actualidad existe todo tipo de rootkits que permiten, entre otros, ocultar ficheros, procesos y conexiones de red, hacer accesibles recursos del sistema, conexiones inversas, etc., dificultando la detección del no-invitado (si alguien quiere probar alguno y hacer un pequeño report será bienvenido para su publicación en el blog).

A nivel operativo, se ha visto la posibilidad de "matar" una determinada conexión, o la habilidad para manejar el ancho de banda de una determinada conexión. También se analizan las diferencias sustanciales entre "firewalls" y TCPwrappers.

Como es hora de empezar a pensar en evolucionar, se introducen los conceptos básicos del protocolo IPv6, y los conceptos básicos evolucionados desde IPv4. En prácticas se deberá configurar IPv6 en las máquinas virtuales. También se introducen algunas de las herramientas básicas de ataque, tanto a nivel intrusivo como de DoS, a redes IPv6. Desde hace 11 años que para mañana. Esto se parece al cuento de, "que viene el lobo", y ... "algún día llegará el lobo, aunque realmente ahora si que lo tenemos encima"

Cambiando de contexto, se analiza el esquema de funcionamiento de un conmutador de red, su matriz de conmutación, tablas MAC, etc. Las técnicas clásicas de "sniffing" en redes de medio conmutado ARP spoofing y MAC duplicating completan esta sección.

Analizada la problemática del "sniffing" (lado oscuro), el lado de la luz se debe centrar en las posibilidades-mecanismos de protección. Pero estos los dejaremos para el próximo día.

Para finalizar con un toque de humor, en esta entrada se plantea una de las decisiones en formato matrix, a nivel profesional, que todos debemos tomar en algún momento.

Bitácora de PSI.: Fecha estelar 9-abr-2010 (La no escrita)

Esta entrada de bitácora no se publicará.

Clases viernes 16 de abril

El próximo viernes 16 de abril no habrá clases de PSI. Estoy en un tribunal de tesis doctoral que se celebrará en la sala de grados de la ETSICCPC. Si a alguien de PSI le interesa el mundo de los gráficos y la visualización, se puede pasar al acto de lectura.

El laboratorio de prácticas estará abierto y funcionando. Recomiendo a los asignados a dicho grupo utilicen esas dos horas para adelantar trabajo de la primera.

Conferencia Protecting Digital Content (FI-UDC-15 abril)

Conferencia: Protecting Digital Content

Ponente: Ernst L. Leiss. University of Houston
Lugar: Aula 2.6 da Facultade de Informática
Día y hora: Xoves 15 de abril de 2010, ás 12:30 horas.
----
Abstract

Digital media are becoming increasingly more common as a repository and representation of intellectual property, especially audio, images, and video. With this ubiquity come requirements for security (who may gain access the content?) and integrity (is the information unadulterated/original?).

This presentation focuses on techniques for achieving security and integrity of digital content. We differentiate between one-step (a protected single-step transmission between origin and destination) and multi-step (the content passes through several hands in a protected way) methods. Also, we classify content as either text-based (text, programs) or signal-based (audio, video) and explain the salient characteristics. Within the context of these types of goals and objectives, we review various approaches towards achieving security or integrity.

Cryptography-based approaches are the traditional means of achieving these objectives. However, they have serious problems with signal-based content, most notably processing requirements, sensitivity to errors, or increases in the amount of data to be stored or transmitted. Also, they are only single-step.

Digital watermarks have recently attracted attention as an alternative approach to protecting digital content. While they do not achieve security nor are they directly applicable to text-based content, they can be used to realize multi-step integrity of signal-based content.

Referencias básicas de red

Para los que quieren alguna lectura recomendada para la configuración inicial de las máquinas virtuales y sus servicios de red.:

1.- Debian Reference. Capítulo 10 - Configuración de la red. Además, no estaría mal que de la guía de referencia, se mirasen los apartados 2.4, 10 (introducción), 10.1, 10.2.1, 10.2.2, 10.3.1, 10.4, 10.5, 10.6.1, 10.6.2, 10.6.6, 10.6.7, 10.9 (introducción), 10.9.1, 10.10.

2.- De ámbito general, "Generic Network Configuracion Information". Al igual que los medicamentos genéricos, esta entrada te mostrará muchas de las cosas que se debe "saber" sobre la configuración básica del subsistema de red de nuestras máquinas, todo ello directamente aplicable a las de prácticas.

3.- Con otro tipo de enfoque, puedes optar por "How To Set Up A Linux Network".

4.- También puedes mirar el "How To Set Up A Debian Linux Syslog Server".

Bitácora de PSI.: Ocultat[h]or y otros amigos

Hoy hemos hecho un "refrito" de unos cuantos temas para ir cerrando algunas de las líneas abiertas en clases anteriores.

En la primera parte de la clase se exponen algunas de las opciones básicas de un clásico del "fingerprinting" y familia, el nmap. También se incluye en esta sección referencia a algunos de los entornos gráficos para nmap. Se deja al alumno probar alguno de ellos, por ejemplo zenmap. Si quieres algo rápido y muy básico puedes utilizar http://nmap-online.com/. Se finaliza esta parte introduciendo el motor de "scripting" de la última versión de nmap, y su evolución hacia la detección y explotación de vulnerabilidades mediante el uso de scripts escritos en LUA.

Se introducen otras herramientas como wfetch, o los complementos para firefox fiddler y tamper data. Se deja al alumno el "jugar" (jugar es le mejor forma de aprender) con alguna prueba inofensiva de "tampering".

El uso de "sniffers" como herramientas pasivas de "fingerprinting" es otra de las posibilidades en el mundillo. Pero recuerda que el "sniffing", sea en medio compartido, o conmutado, también es detectable. Herramientas como networkminer, entre otras muchas, facilitan la tarea de captura de todo tipo de información del tráfico o, directamente, de ficheros pcap.

También hemos introducido las posibilidades de enmascarar nuestros sistemas y servicios. Normalmente, a mano, o a máquina (herramientas), se centran en modificar distintos parámetros del registro del sistema o los parámetros de configuración de la máquina tcp/ip, en /proc/sys/net/ipv4/, entre otros.

En el ámbito del "host discovery" y "fingerprinting" hemos analizado distintas técnicas básicas para hacer "firewall discovery & fingerprinting", que no incluyo aquí al estar disponibles en infinidad de fuentes.

La última parte de la clase se dedica, para complementar el tema de la clase anterior dedicada a ocultación, y bajo petición de Adri, al superhéroe T[h]or. Su esquema de funcionamiento, posibilidades, etc., etc.

Sobre el tema, hoy Alejo me ha remitido una noticia sobre googlesharing, relacionada con el tema de la navegación anónima. Otro complemento más de firefox para no salir en la foto.

--
Si te levantas temprano verás salir el sol, si te acuestas tarde también