Horario de laboratorio PSI extra

Me indican del CECAFI que el laboratorio de PSI está disponible en el horario extra seleccionado.:

Martes - Miércoles - Jueves de 19:30 a 21:30

Como diría Gabinete, que Dios siga repatiendo suerte

VIII Foro de Seguridad RedIRIS (disponible en video almacenado)

El Foro de Seguridad 2010, celebrado los días 22 y 23 de abril en la Facultad de Económicas de la Universidad Autónoma de Madrid, organismo que colabora con RedIRIS en la organización del evento, se centra en las diversas normativas de seguridad que han ido surgiendo en diversos ámbitos y que afectan en mayor o menor medida a las instituciones.

Doy por supuesto que todos los alumnos de PSI conocen la vida y obras de RedIRIS. En caso negativo, dedícale un rato a navegar por http://www.rediris.es. Después de esto deberás tener conocimiento de varios temas del tipo, ¿qué es la red GÈÀNT2?, ¿qué troncales de RedIRIS interconectan Galicia?, ¿qué anchos de banda tienen?, etc., etc., etc. Recuerdo que hace un montón de años tuve la suerte, o la desgracia, según se mire, de ser PER de la UDC. ¿Qué es un PER?. ¿Qué complemento salarial tiene un PER?.

En http://www.rediris.es/difusion/eventos/foros-seguridad/fs2010/agenda.html tienes el programa del Foro de la Seguridad con varias de las sesiones disponibles en video. En el caso de que decidas colocarte delante del equipo y asistir a lo que en ellas se dice, verás cosas relacionadas con.: Grey Goose y bases de datos de malos (¿quiénes son los malos?), bootnets, darknets, metodologías de análisis de riesgos, Magerit, conocerás a Pilar, LOPD, ISO 27001 y 27002, RD1720/2007 y descubrirás algunos aspectos del Esquema Nacional de Seguridad.

--
Sed buenos ... si podéis, para no terminar en alguna base de datos de malos (-:

Información complementaria (cuando salimos de nuestra redes de edificio)

Sin duda alguna, la temática de PSI está vinculada con la totalidad de asignaturas de nuestra titulación, aunque con algunas mucho más que con otras. En una asignatura cuatrimestral no se puede salir del guión para no derivar en temáticas fuera de la PSI, o directamente vinculadas a otras asignaturas. Pero siempre quedan las referencias para el que tenga unas grandes dosis de curiosidad y quiera explorar el mundo. Hoy un alumno me remitía un email con una referencia sobre redes de agregación. También te recomiendo la entrada Metro Eth. Siento no poder dedicar tiempo en PSI a estos temas, pero se salen sustancialmente de la temática de la asignatura.

--
Gracias FJRR,

Bitácora de PSI (fecha estelar 23-04-2010).: Nos vamos de taping

Hoy hemos hecho algo que nos gusta mucho, irnos de taping, que es distinto al tampering. La primera mitad de la clase la dedicamos a este gran deporte y, la segunda, al freejacking de nuestras redes.

--
Algunas costumbres nunca deben desaparecer

Conexiones inversas

Hace unas cuantas clases dedicamos unos minutos a las conexiones inversas. Entre otros muchos bichos, se referenció PosionIvY y BitForst.

Hoy Alejo me remitía varias noticias de seguridad, una de ellas referente al PoisonIvY que, por referencias, la adjunto. [Gracias]

Noticia.: Un troyano que permite espiar al atacante

Bonus Extra (horario complementario de laboratorio de PSI)

Para los que han pedido horas extra de laboratorio de PSI, no remuneradas, al menos económicamente en el corto plazo, estará disponible, además del oficial, el siguiente.:

Martes - Miércoles - Jueves de 19:30 a 21:30

Como diría Gabinete, que Dios reparta suerte

Bitácora de PSI.: Póntela, pónsela

Analizada la problemática del "sniffing", es la hora de hablar de protección (póntela, pónsela).

Iniciamos esta nueva aventura con dos posibilidades de detección, la primera mediante IDSs, IPSs, sensores y demás familia a nivel de red integrados en la forma de "hardware" dedicado y, la segunda, mediante el uso de "mirroring" entre puertos de los activos de red (port span), y el uso de I[DP]Ss y demás familia asociados en el ámbito freeware. La posiblidad de "port span" de varios puertos, o toda una VLAN, contra un puerto, facilita las tareas de detección a nivel de red con un mínimo gasto. Para evitar cuellos de botella se puede asociar el "port span" al "trunk" de puertos. Obviamente, esto supone un coste para la matriz de conmutación del activo y de posibles cuellos de botella. A nivel operativo, se muestra la implementación de "port span" en los activos cisco.

Otro aspecto a considerar se debe centrar en evitar los llamados "reinos de taifas". Aspectos de importancia como la definición de VLANs, segmentación, filtrado, "firewalling" y seguridad perimetral (no es la panacea pero ayuda), I[DP]Ss, cifrado [a nivel 3 o de aplicación], control-administración total sobre las máquinas de la organización, entro otras, están siempre presentes.

Supongamos una organización que ha invertido muchos recursos en seguridad (€ y humanos), y que presumiblemente todo parece bien organizado y securizado. Dentro de sus muchas redes, servidores y cientos de PCs, un día un usuario con capacidades de administración en su equipo ubicado en una red interna, sea directamente o mediante el uso de un "live-cd", decide conectar su equipo a internet por medio de una conexión propia (cable, 3G+, etc.), pudiendo montar todo tipo de software, proxys, NAT, etc., que enmascare las conexiones exteriores. Claramente tendríamos un problema. Sin el control total de todos los equipos es prácticamente imposible detectar este tipo de actuaciones. Unido a esto, es aconsejable tener una política de seguridad, que incluya un acuerdo firmado con el personal en el que quede claramente reflejado lo que se puede y no se puede hacer. Dejar las normas claras es la mejor herramienta de trabajo, tanto para los directivos de las empresas y departamentos, como para los propios trabajadores.

Un sistema comprometido debe tratarse como tal. No es normal ver que "profesionales" que detectan en su organización sistemas comprometidos, o que tienen un comportamiento poco normal, los dejen como última tarea en su ponderación de trabajos, y que pasen los meses y dichos equipos sigan en la misma situación. Claramente están comprometiendo la información de todos los usuarios y de otros muchos sistemas. El buscar un equilibrio-acuerdo con el no-invitado, y no hacer nada a no ser que el sistema deje de funcionar o dar servicio, no es aceptable. Recuerda que hay que seleccionar entre la "pastilla roja" o la "azul", y que en muchas ocasiones "la ignorancia es la felicidad". Sin duda alguna nadie es infalible, ni mucho menos, pero debemos poner lo que esté en nuestra manos para solucionar problemas, antes de generar otros nuevos. No hemos hablado de ingeniería social en clase, otra de nuestras amigas inseparables, pero siempre deberá estar muy presente.

Continuando con los mecanismos de seguridad analizamos el llamado "port security". Antes de nada, se estudia el funcionamiento de los conmutadores de red y la forma en la que gestionan las conexiones a nivel 2. Además, se muestra la implementación de "port security" en los activos cisco, sus opciones, implicaciones y la necesidad de su integración en los sistemas de gestión de red.

Se presentan otras herramientas de gran utilidad contra el "ARP Spoofing", como "arpalert", "darpwatch", "xarp" y "arpwatch". A nivel operativo, se analiza el funcionamiento de "arpwatch", su configuración y esquema de funcionamiento.

--
- La curiosidad mata la ignorancia
- La curiosidad impulsa a los seres a buscar la información y la interacción con su ambiente natural y con otros seres en su vecindad
- El estilo de vida de las ciudades es un claro enemigo de la curiosidad

FIConLAN (Party de la FI-UDC) [14..17 mayo]

- Información de FIConLAN

- Página de FIConLAN (próximamente disponible)

Como bien se apunta en quegrande, nada de invitar a los que utilizan el papel para publicar sus posts.

keyloggers y tempest

En entradas anteriores hemos incluido alguna referencia a ataques tempest bajo el título "puede una página web levantarte dolor de cabeza o quitarte el sueño".

En esta traigo una noticia relacionada con ataques tempest, pero en este caso relacionadas con señales acústicas, en lugar de electromagnéticas.

De forma resumida, el procesado del registro audio de las pulsaciones de teclado pueden actuar de keyloggers.

Bueno, hasta la fecha se había convertido en frecuente ver a nuestros políticos taparse la boca al hablar por móvil, y pronto veremos silenciadores de teclados, o dispositivos similares.

Noticia por fuente M. Faúndez

Bitácora de PSI.: Sniff...

Se inicia una nueva aventura que, unida al tema de categorías de ataques, nos llevará a seleccionar dos casos para estudio. El primero de ellos se centra en la categoría de intercepción y, como no, hablamos del “sniffing”.Se recuerdan algunos conceptos básicos (paquetería de red, comunicaciones en medio compartido y medio conmutado (swtiched)], los objetivos y utilidades del “sniffing” [tanto las del lado oscuro, como las del lado de la luz], etc. Aunque en nuestros LANs cableadas el medio compartido casi ha desaparecido, con la llegada masiva de las WIFIs, el aire se ha tornado en un claro elemento de medio compartido.

Antes de iniciar esta nueva aventura de "sniffing", también se hace un repaso al concepto de segmento de red y VLANs, incluyendo la descripción de protocolos como el 802.1q, 802.1d, o los conceptos de "trunking" y la gestión de varios interfaces virtuales sobre un interface físico, entre otras (si alguien quere hacer pruebas con alguna de las posibilidades-herramientas en seguridad existentes en este ámbito, como puda ser yersinia, y hacer un pequeño report, será bievenido para su publicación en el blog)

Se analizan las técnicas básica de "sniffing" en redes de medio compartido. En este punto se trata el concepto de interface en modo promisc, y sus implicaciones. No se le dedica mucho tiempo. Los HUBs prácticamente han desaparecido. En el ámbito de las redes WIFIs, analizamos el handshake utilizado en WPA y alguna de sus posibles debilidades.

Se estudian las implicaciones de un sistema comprometido, en el que no podremos fiarnos de nuestros sentidos, lo que vemos o procesamos, y la necesidad de integridad en nuestros sistemas. En la actualidad existe todo tipo de rootkits que permiten, entre otros, ocultar ficheros, procesos y conexiones de red, hacer accesibles recursos del sistema, conexiones inversas, etc., dificultando la detección del no-invitado (si alguien quiere probar alguno y hacer un pequeño report será bienvenido para su publicación en el blog).

A nivel operativo, se ha visto la posibilidad de "matar" una determinada conexión, o la habilidad para manejar el ancho de banda de una determinada conexión. También se analizan las diferencias sustanciales entre "firewalls" y TCPwrappers.

Como es hora de empezar a pensar en evolucionar, se introducen los conceptos básicos del protocolo IPv6, y los conceptos básicos evolucionados desde IPv4. En prácticas se deberá configurar IPv6 en las máquinas virtuales. También se introducen algunas de las herramientas básicas de ataque, tanto a nivel intrusivo como de DoS, a redes IPv6. Desde hace 11 años que para mañana. Esto se parece al cuento de, "que viene el lobo", y ... "algún día llegará el lobo, aunque realmente ahora si que lo tenemos encima"

Cambiando de contexto, se analiza el esquema de funcionamiento de un conmutador de red, su matriz de conmutación, tablas MAC, etc. Las técnicas clásicas de "sniffing" en redes de medio conmutado ARP spoofing y MAC duplicating completan esta sección.

Analizada la problemática del "sniffing" (lado oscuro), el lado de la luz se debe centrar en las posibilidades-mecanismos de protección. Pero estos los dejaremos para el próximo día.

Para finalizar con un toque de humor, en esta entrada se plantea una de las decisiones en formato matrix, a nivel profesional, que todos debemos tomar en algún momento.