Horario de laboratorio PSI extra

Me indican del CECAFI que el laboratorio de PSI está disponible en el horario extra seleccionado.:

Martes - Miércoles - Jueves de 19:30 a 21:30

Como diría Gabinete, que Dios siga repatiendo suerte

VIII Foro de Seguridad RedIRIS (disponible en video almacenado)

El Foro de Seguridad 2010, celebrado los días 22 y 23 de abril en la Facultad de Económicas de la Universidad Autónoma de Madrid, organismo que colabora con RedIRIS en la organización del evento, se centra en las diversas normativas de seguridad que han ido surgiendo en diversos ámbitos y que afectan en mayor o menor medida a las instituciones.

Doy por supuesto que todos los alumnos de PSI conocen la vida y obras de RedIRIS. En caso negativo, dedícale un rato a navegar por http://www.rediris.es. Después de esto deberás tener conocimiento de varios temas del tipo, ¿qué es la red GÈÀNT2?, ¿qué troncales de RedIRIS interconectan Galicia?, ¿qué anchos de banda tienen?, etc., etc., etc. Recuerdo que hace un montón de años tuve la suerte, o la desgracia, según se mire, de ser PER de la UDC. ¿Qué es un PER?. ¿Qué complemento salarial tiene un PER?.

En http://www.rediris.es/difusion/eventos/foros-seguridad/fs2010/agenda.html tienes el programa del Foro de la Seguridad con varias de las sesiones disponibles en video. En el caso de que decidas colocarte delante del equipo y asistir a lo que en ellas se dice, verás cosas relacionadas con.: Grey Goose y bases de datos de malos (¿quiénes son los malos?), bootnets, darknets, metodologías de análisis de riesgos, Magerit, conocerás a Pilar, LOPD, ISO 27001 y 27002, RD1720/2007 y descubrirás algunos aspectos del Esquema Nacional de Seguridad.

--
Sed buenos ... si podéis, para no terminar en alguna base de datos de malos (-:

Información complementaria (cuando salimos de nuestra redes de edificio)

Sin duda alguna, la temática de PSI está vinculada con la totalidad de asignaturas de nuestra titulación, aunque con algunas mucho más que con otras. En una asignatura cuatrimestral no se puede salir del guión para no derivar en temáticas fuera de la PSI, o directamente vinculadas a otras asignaturas. Pero siempre quedan las referencias para el que tenga unas grandes dosis de curiosidad y quiera explorar el mundo. Hoy un alumno me remitía un email con una referencia sobre redes de agregación. También te recomiendo la entrada Metro Eth. Siento no poder dedicar tiempo en PSI a estos temas, pero se salen sustancialmente de la temática de la asignatura.

--
Gracias FJRR,

Bitácora de PSI (fecha estelar 23-04-2010).: Nos vamos de taping

Hoy hemos hecho algo que nos gusta mucho, irnos de taping, que es distinto al tampering. La primera mitad de la clase la dedicamos a este gran deporte y, la segunda, al freejacking de nuestras redes.

--
Algunas costumbres nunca deben desaparecer

Conexiones inversas

Hace unas cuantas clases dedicamos unos minutos a las conexiones inversas. Entre otros muchos bichos, se referenció PosionIvY y BitForst.

Hoy Alejo me remitía varias noticias de seguridad, una de ellas referente al PoisonIvY que, por referencias, la adjunto. [Gracias]

Noticia.: Un troyano que permite espiar al atacante

Bonus Extra (horario complementario de laboratorio de PSI)

Para los que han pedido horas extra de laboratorio de PSI, no remuneradas, al menos económicamente en el corto plazo, estará disponible, además del oficial, el siguiente.:

Martes - Miércoles - Jueves de 19:30 a 21:30

Como diría Gabinete, que Dios reparta suerte

Bitácora de PSI.: Póntela, pónsela

Analizada la problemática del "sniffing", es la hora de hablar de protección (póntela, pónsela).

Iniciamos esta nueva aventura con dos posibilidades de detección, la primera mediante IDSs, IPSs, sensores y demás familia a nivel de red integrados en la forma de "hardware" dedicado y, la segunda, mediante el uso de "mirroring" entre puertos de los activos de red (port span), y el uso de I[DP]Ss y demás familia asociados en el ámbito freeware. La posiblidad de "port span" de varios puertos, o toda una VLAN, contra un puerto, facilita las tareas de detección a nivel de red con un mínimo gasto. Para evitar cuellos de botella se puede asociar el "port span" al "trunk" de puertos. Obviamente, esto supone un coste para la matriz de conmutación del activo y de posibles cuellos de botella. A nivel operativo, se muestra la implementación de "port span" en los activos cisco.

Otro aspecto a considerar se debe centrar en evitar los llamados "reinos de taifas". Aspectos de importancia como la definición de VLANs, segmentación, filtrado, "firewalling" y seguridad perimetral (no es la panacea pero ayuda), I[DP]Ss, cifrado [a nivel 3 o de aplicación], control-administración total sobre las máquinas de la organización, entro otras, están siempre presentes.

Supongamos una organización que ha invertido muchos recursos en seguridad (€ y humanos), y que presumiblemente todo parece bien organizado y securizado. Dentro de sus muchas redes, servidores y cientos de PCs, un día un usuario con capacidades de administración en su equipo ubicado en una red interna, sea directamente o mediante el uso de un "live-cd", decide conectar su equipo a internet por medio de una conexión propia (cable, 3G+, etc.), pudiendo montar todo tipo de software, proxys, NAT, etc., que enmascare las conexiones exteriores. Claramente tendríamos un problema. Sin el control total de todos los equipos es prácticamente imposible detectar este tipo de actuaciones. Unido a esto, es aconsejable tener una política de seguridad, que incluya un acuerdo firmado con el personal en el que quede claramente reflejado lo que se puede y no se puede hacer. Dejar las normas claras es la mejor herramienta de trabajo, tanto para los directivos de las empresas y departamentos, como para los propios trabajadores.

Un sistema comprometido debe tratarse como tal. No es normal ver que "profesionales" que detectan en su organización sistemas comprometidos, o que tienen un comportamiento poco normal, los dejen como última tarea en su ponderación de trabajos, y que pasen los meses y dichos equipos sigan en la misma situación. Claramente están comprometiendo la información de todos los usuarios y de otros muchos sistemas. El buscar un equilibrio-acuerdo con el no-invitado, y no hacer nada a no ser que el sistema deje de funcionar o dar servicio, no es aceptable. Recuerda que hay que seleccionar entre la "pastilla roja" o la "azul", y que en muchas ocasiones "la ignorancia es la felicidad". Sin duda alguna nadie es infalible, ni mucho menos, pero debemos poner lo que esté en nuestra manos para solucionar problemas, antes de generar otros nuevos. No hemos hablado de ingeniería social en clase, otra de nuestras amigas inseparables, pero siempre deberá estar muy presente.

Continuando con los mecanismos de seguridad analizamos el llamado "port security". Antes de nada, se estudia el funcionamiento de los conmutadores de red y la forma en la que gestionan las conexiones a nivel 2. Además, se muestra la implementación de "port security" en los activos cisco, sus opciones, implicaciones y la necesidad de su integración en los sistemas de gestión de red.

Se presentan otras herramientas de gran utilidad contra el "ARP Spoofing", como "arpalert", "darpwatch", "xarp" y "arpwatch". A nivel operativo, se analiza el funcionamiento de "arpwatch", su configuración y esquema de funcionamiento.

--
- La curiosidad mata la ignorancia
- La curiosidad impulsa a los seres a buscar la información y la interacción con su ambiente natural y con otros seres en su vecindad
- El estilo de vida de las ciudades es un claro enemigo de la curiosidad

FIConLAN (Party de la FI-UDC) [14..17 mayo]

- Información de FIConLAN

- Página de FIConLAN (próximamente disponible)

Como bien se apunta en quegrande, nada de invitar a los que utilizan el papel para publicar sus posts.

keyloggers y tempest

En entradas anteriores hemos incluido alguna referencia a ataques tempest bajo el título "puede una página web levantarte dolor de cabeza o quitarte el sueño".

En esta traigo una noticia relacionada con ataques tempest, pero en este caso relacionadas con señales acústicas, en lugar de electromagnéticas.

De forma resumida, el procesado del registro audio de las pulsaciones de teclado pueden actuar de keyloggers.

Bueno, hasta la fecha se había convertido en frecuente ver a nuestros políticos taparse la boca al hablar por móvil, y pronto veremos silenciadores de teclados, o dispositivos similares.

Noticia por fuente M. Faúndez

Bitácora de PSI.: Sniff...

Se inicia una nueva aventura que, unida al tema de categorías de ataques, nos llevará a seleccionar dos casos para estudio. El primero de ellos se centra en la categoría de intercepción y, como no, hablamos del “sniffing”.Se recuerdan algunos conceptos básicos (paquetería de red, comunicaciones en medio compartido y medio conmutado (swtiched)], los objetivos y utilidades del “sniffing” [tanto las del lado oscuro, como las del lado de la luz], etc. Aunque en nuestros LANs cableadas el medio compartido casi ha desaparecido, con la llegada masiva de las WIFIs, el aire se ha tornado en un claro elemento de medio compartido.

Antes de iniciar esta nueva aventura de "sniffing", también se hace un repaso al concepto de segmento de red y VLANs, incluyendo la descripción de protocolos como el 802.1q, 802.1d, o los conceptos de "trunking" y la gestión de varios interfaces virtuales sobre un interface físico, entre otras (si alguien quere hacer pruebas con alguna de las posibilidades-herramientas en seguridad existentes en este ámbito, como puda ser yersinia, y hacer un pequeño report, será bievenido para su publicación en el blog)

Se analizan las técnicas básica de "sniffing" en redes de medio compartido. En este punto se trata el concepto de interface en modo promisc, y sus implicaciones. No se le dedica mucho tiempo. Los HUBs prácticamente han desaparecido. En el ámbito de las redes WIFIs, analizamos el handshake utilizado en WPA y alguna de sus posibles debilidades.

Se estudian las implicaciones de un sistema comprometido, en el que no podremos fiarnos de nuestros sentidos, lo que vemos o procesamos, y la necesidad de integridad en nuestros sistemas. En la actualidad existe todo tipo de rootkits que permiten, entre otros, ocultar ficheros, procesos y conexiones de red, hacer accesibles recursos del sistema, conexiones inversas, etc., dificultando la detección del no-invitado (si alguien quiere probar alguno y hacer un pequeño report será bienvenido para su publicación en el blog).

A nivel operativo, se ha visto la posibilidad de "matar" una determinada conexión, o la habilidad para manejar el ancho de banda de una determinada conexión. También se analizan las diferencias sustanciales entre "firewalls" y TCPwrappers.

Como es hora de empezar a pensar en evolucionar, se introducen los conceptos básicos del protocolo IPv6, y los conceptos básicos evolucionados desde IPv4. En prácticas se deberá configurar IPv6 en las máquinas virtuales. También se introducen algunas de las herramientas básicas de ataque, tanto a nivel intrusivo como de DoS, a redes IPv6. Desde hace 11 años que para mañana. Esto se parece al cuento de, "que viene el lobo", y ... "algún día llegará el lobo, aunque realmente ahora si que lo tenemos encima"

Cambiando de contexto, se analiza el esquema de funcionamiento de un conmutador de red, su matriz de conmutación, tablas MAC, etc. Las técnicas clásicas de "sniffing" en redes de medio conmutado ARP spoofing y MAC duplicating completan esta sección.

Analizada la problemática del "sniffing" (lado oscuro), el lado de la luz se debe centrar en las posibilidades-mecanismos de protección. Pero estos los dejaremos para el próximo día.

Para finalizar con un toque de humor, en esta entrada se plantea una de las decisiones en formato matrix, a nivel profesional, que todos debemos tomar en algún momento.

Bitácora de PSI.: Fecha estelar 9-abr-2010 (La no escrita)

Esta entrada de bitácora no se publicará.

Clases viernes 16 de abril

El próximo viernes 16 de abril no habrá clases de PSI. Estoy en un tribunal de tesis doctoral que se celebrará en la sala de grados de la ETSICCPC. Si a alguien de PSI le interesa el mundo de los gráficos y la visualización, se puede pasar al acto de lectura.

El laboratorio de prácticas estará abierto y funcionando. Recomiendo a los asignados a dicho grupo utilicen esas dos horas para adelantar trabajo de la primera.

Conferencia Protecting Digital Content (FI-UDC-15 abril)

Conferencia: Protecting Digital Content

Ponente: Ernst L. Leiss. University of Houston
Lugar: Aula 2.6 da Facultade de Informática
Día y hora: Xoves 15 de abril de 2010, ás 12:30 horas.
----
Abstract

Digital media are becoming increasingly more common as a repository and representation of intellectual property, especially audio, images, and video. With this ubiquity come requirements for security (who may gain access the content?) and integrity (is the information unadulterated/original?).

This presentation focuses on techniques for achieving security and integrity of digital content. We differentiate between one-step (a protected single-step transmission between origin and destination) and multi-step (the content passes through several hands in a protected way) methods. Also, we classify content as either text-based (text, programs) or signal-based (audio, video) and explain the salient characteristics. Within the context of these types of goals and objectives, we review various approaches towards achieving security or integrity.

Cryptography-based approaches are the traditional means of achieving these objectives. However, they have serious problems with signal-based content, most notably processing requirements, sensitivity to errors, or increases in the amount of data to be stored or transmitted. Also, they are only single-step.

Digital watermarks have recently attracted attention as an alternative approach to protecting digital content. While they do not achieve security nor are they directly applicable to text-based content, they can be used to realize multi-step integrity of signal-based content.

Referencias básicas de red

Para los que quieren alguna lectura recomendada para la configuración inicial de las máquinas virtuales y sus servicios de red.:

1.- Debian Reference. Capítulo 10 - Configuración de la red. Además, no estaría mal que de la guía de referencia, se mirasen los apartados 2.4, 10 (introducción), 10.1, 10.2.1, 10.2.2, 10.3.1, 10.4, 10.5, 10.6.1, 10.6.2, 10.6.6, 10.6.7, 10.9 (introducción), 10.9.1, 10.10.

2.- De ámbito general, "Generic Network Configuracion Information". Al igual que los medicamentos genéricos, esta entrada te mostrará muchas de las cosas que se debe "saber" sobre la configuración básica del subsistema de red de nuestras máquinas, todo ello directamente aplicable a las de prácticas.

3.- Con otro tipo de enfoque, puedes optar por "How To Set Up A Linux Network".

4.- También puedes mirar el "How To Set Up A Debian Linux Syslog Server".

Bitácora de PSI.: Ocultat[h]or y otros amigos

Hoy hemos hecho un "refrito" de unos cuantos temas para ir cerrando algunas de las líneas abiertas en clases anteriores.

En la primera parte de la clase se exponen algunas de las opciones básicas de un clásico del "fingerprinting" y familia, el nmap. También se incluye en esta sección referencia a algunos de los entornos gráficos para nmap. Se deja al alumno probar alguno de ellos, por ejemplo zenmap. Si quieres algo rápido y muy básico puedes utilizar http://nmap-online.com/. Se finaliza esta parte introduciendo el motor de "scripting" de la última versión de nmap, y su evolución hacia la detección y explotación de vulnerabilidades mediante el uso de scripts escritos en LUA.

Se introducen otras herramientas como wfetch, o los complementos para firefox fiddler y tamper data. Se deja al alumno el "jugar" (jugar es le mejor forma de aprender) con alguna prueba inofensiva de "tampering".

El uso de "sniffers" como herramientas pasivas de "fingerprinting" es otra de las posibilidades en el mundillo. Pero recuerda que el "sniffing", sea en medio compartido, o conmutado, también es detectable. Herramientas como networkminer, entre otras muchas, facilitan la tarea de captura de todo tipo de información del tráfico o, directamente, de ficheros pcap.

También hemos introducido las posibilidades de enmascarar nuestros sistemas y servicios. Normalmente, a mano, o a máquina (herramientas), se centran en modificar distintos parámetros del registro del sistema o los parámetros de configuración de la máquina tcp/ip, en /proc/sys/net/ipv4/, entre otros.

En el ámbito del "host discovery" y "fingerprinting" hemos analizado distintas técnicas básicas para hacer "firewall discovery & fingerprinting", que no incluyo aquí al estar disponibles en infinidad de fuentes.

La última parte de la clase se dedica, para complementar el tema de la clase anterior dedicada a ocultación, y bajo petición de Adri, al superhéroe T[h]or. Su esquema de funcionamiento, posibilidades, etc., etc.

Sobre el tema, hoy Alejo me ha remitido una noticia sobre googlesharing, relacionada con el tema de la navegación anónima. Otro complemento más de firefox para no salir en la foto.

--
Si te levantas temprano verás salir el sol, si te acuestas tarde también

Lección de alta tecnología

Hoy Alejo me ha remitido una entrada que refleja, en una frase, un aspecto de nuestra vida profesional que siempre trato de transmitir. Aunque yo prefiero generalizarla.

De nada nos sirve gastarnos grandes cantidades de euros en hardware si el personal de administración de sistemas y desarrollo no tiene un cierto nivel. Siempre será preferible tener una flota de PCs prehistóricos con personal de gran calidad, que grandes supercomputadores administrados por camicaces de la informática. Matar moscas a cañonazos no suele dar buenos resultados.

------------
"No te gastes miles de millones en construir computadores para romper cifras si luego no vas a contratar a los mejores para que estén con ellos usándolos todo el día."

– filosofía de la NSA en La fortaleza Digital,
de Dan Brown
-------------

[Fuente.: http://www.microsiervos.com/archivo/frases-citas/leccion-alta-tecnologia.html
por Alejo]

V Jornadas de Reconocimiento Biométrico de Personas (JRBP10) [Huesca. 2-3 septiembre 2010]

Las V Jornadas de Reconocimiento Biométrico de Personas (JRBP10) están organizadas por el Grupo de Tecnologías de las Comunicaciones del Instituto de Investigación en Ingeniería de Aragón (I3A) de la Universidad de Zaragoza y el Parque Tecnológico Walqa de Huesca . A través de estas Jornadas se pretende crear un foro de encuentro entre distintos grupos de trabajo, tanto del mundo de la Empresa como de la Universidad con el fin de compartir avances tecnológicos así como mostrar los resultados de investigación y desarrollo en el campo de la Biometría.

Las Jornadas tendrán lugar el 2 y 3 de septiembre de 2010 en el Parque Tecnológico Walqa de Huesca, Salón de actos del Edificio Félix de Azara.

Actividades complementarias a pocos kilómetros de Huesca.: Si alguien me preguntase por el paraíso, posiblemente respondería Sierra de Guara. Pueblos como Alquezar o Rodellar son una auténtica maravilla. Y si quieres un poco más de emociones, estás en el cielo del descenso de cañones (algunos ejemplos, Cuevas de la Reina, Mascún, Raisén, Palomeras de Fornocal o Sarratanás, entre otros).