jueves, 29 de enero de 2015

Seguridad en Redes (I): En la piel de un atacante



Este psot se centra en los primeros pasos que deberíamos realizar cuando asumimos el papel de un atacante que utiliza Internet. La primera vía que un atacante competente probaría es la de consultar códigos abiertos para obtener información relacionada con la organización y sus redes. A alto nivel, se consultan los códigos abiertos siguientes:
La mayoría de este sondeo es indirecto, envía y recibe tráfico desde sitios como Google o servidores WHOIS, BGP y DNS públicos. Usar varias técnicas de consulta directa implica enviar información a la red objetivo, en la mayoría de los casos como los siguientes:


Tras realizar un ejercicio de enumeración de redes de Internet, consultando todas estas fuentes en busca de información útil, un atacante puede hacer un mapa útil de sus redes y comprender dónde residen las debilidades potenciales. Los atacantes, identificando sistemas periféricos de interés (como sistemas de prueba o desarrollo), pueden centrar áreas específicas de al red objetivo objetivo más tarde.



Figura 1. Ejemplo de mapa de redes.

El proceso de reconocimiento con frecuencia es interactivo, repitiendo todo el ciclo de enumeración cuando se encuentra una nueva pieza de información (como un nombre de dominio una dirección). El alcance del ejercicio de evaluación normalmente define los límites de actuación, lo que algunas veces incluye poner a prueba a terceras partes y a distribuidores. Son conocidas las empresas cuyas redes fueron comprometidas por atacantes extremadamente decididos a irrumpir en ordenadores que los usuarios tenían en sus hogares con conexión directa o DLS siempre activa, y accediendo a continuación a la red corporativa.


Figura 2. Ejemplo de ataque desde red externa.

Consultar motores de búsqueda Web y grupos de noticias

A medida que los motores de búsqueda registran la Web y grupos de noticias, van catalogando piezas de información potencialmente útil. Los motores de búsqueda, como Google y otros sitios, proporcionan funciones de búsqueda avanzada que permiten que los atacantes se hagan una clara idea de la estrucutura de la red que planean atacar más tarde.
En particular, los siguientes tipos de datos están al descubierto normalmente:
        • Direcciones físicas de las oficinas de los empleados.
          Detalles de contacto, incluyendo direcciones de correo electrónico y números de teléfono.
        • Detalles técnicos de los sistemas de correo electrónico internos y direccionamiento.
        • Esquema DNS y convenciones de denominación, incluyendo dominios y nombres de equipo.
        • Documentos que se encuentran en servidores de acceso público.
Los números de teléfono son especialmente útiles para los atacantes decididos, que luego pueden iniciar llamadas masivas para comprometer servidores dial-in y otros dispositivos.
Es muy difícil para las empresas y organizaciones evitar que esta información se obtenga; por ejemplo, se hace pública cada vez que un usuario publica alfo en una lista de correo con su firma digital. Para gestionar este riesgo de forma eficaz, las empresas deberían realizar ejercicios de consulta de registros públicos para garantizar que la información que puede obtener un atacante no conduce a comprometer la seguridad del sistema.

Funcionalidad de búsqueda de Google

Podemos utilizar Google para recopilar información potencialmente útil a través de su página de búsqueda avanzada en www.google.com/advanced_search?hl=es.
Las búsquedas se pueden perfeccionar para incluir o excluir determinadas palabras clave, o para dar con palabras clave en formato de archivos específicos, o en partes específicas de la página Web (como el título de la página o el cuerpo de texto).



Figura 3. Captura de pantalla "Búsqueda Avanzada".
 

Enumerar detalles de contacto de Google

Google puede utilizarse para enumerar fácilmente direcciones de correo electrónico, teléfonos y números de fax. La siguinete figura muestra los resultados de la cadena de búsqueda “pentagom.mil” +tel +fax transmitidos a Google para enumerar direcciones de correo electrónico y números de teléfono relacionados con el pentágono.

Figura 4. Utilizamos Google para obtener usuarios e información. (Hacking con buscadores).

Cadenas búsqueda eficaces

Podemos consultar Google de muchas formas diferentes, dependiendo del tipo exacto de datos que se traten de encontrar. Por ejemplo, si únicamente quiere enumerar los servidores Web bajo el dominio abc.com, puede utilizar una cadena de búsqueda como: .abc.com

Una aplicación útil de Google es el listado de servidores Web que soportan indización de directorio. La figura muestra los resultados de la búsqueda de la siguiente cadena: allintitle:”index of/data” site.nasa.gov.


 Figura 5. Identificando directorios Web listados bajo nasa.gov.

Con bastante frecuencia, los directorios Web que proporcionan listados de archivos contienen archivos interesantes que no son estrictamente de contenido Web (como documentos de Word o Excel).
Un ejemplo es un gran banco que almacena sus planes de desarrollo a largo plazo (incluyendo direcciones IP y nombres de usuario y contraseñas administrativas) en un directorio indexado /cmc_upload/. Un rastreador de aplicación Web o GCI automático no puede identificar el directorio, pero Google puede acceder a través de enlaces desde cualquier parte de Internet.

Buscar grupos de noticias

Las búsquedas en grupos de noticias de Internet también se pueden consultar. La siguiente figura muestra cómo buscar en grupos de Google (http://groups.google.com) utilizando la cadena de búsqueda symantec.com.
Tras realizar búsquedas Web y búsquedas en grupos de noticias, debe tener una idea inicial de las redes objetivo en términos de nombres de dominio y oficinas.
Las consultas WHOIS, DNS y BGP se utilizan a continuación para investigar más fondo la red e identificar puntos de presencia basados en Internet, junto con detalles de nombres de equipos y plataformas operativas utilizadas.



 Figura 6. Página Principal creación y búsqueda por grupos.

 

Consultas Netcraft

Netcraft (www.netcraft.com) es un sitio abundante que prueba activamente servidores Web de Internet y se queda con el historial de los detalles de huellas del servidor. Puede utilizarlo para mapear conjuntos Web y bloques de redes, mostrando los detalles de la plataforma operativa del servidor y otra información útil. La siguiente figura muestra Netcraft siendo consultado para exponer servidores Web bajo sun.com y sus respectivos detalles de la plataforma operativa.


 

 Figura 7. Utilizando Netcraft para identificar y extraer huellas de servidores Búsqueda Web con Netcraft.

 

Consultar registradores de dominio WHOIS

Los registradores de dominios se consultan para obtener información útil sobre determinados nombres de dominios registrados en el momento de escribir estas líneas, incluyendo los TLD genéricos y TLD de código de país en las siguientes ubicaciones:

        • Registradores gTLD.
        • Registradores ccTLD.
Estos registradores TLD pueden consultarse para obtener la siguiente información a través de WHOIS:
        • Detalles de contacto, incluyendo direcciones de correo electrónico y números de teléfono.

        • Direcciones físicas de las oficinas de los empleados.
        • Detalles técnicos de los sistemas de correo electrónico internos y direccionamiento.
        • Esquema DNS y convenciones de denominación, incluyendo dominios y nombres de equipo.
        • Documentos que se encuentran en servidores de acceso público.

Las herramientas que se utilizan para realizar las consultas en dominio WHOIS incluyen:
        • El cliente whois se encuentra dentro de entornos basados en Unix.
        • La apropiada interfaz de Web de registradores TLD.

           

          Figura 8. Para consultar IP/ WHOIS  Networksolutions.


En una segunda entrada sobre "Seguridad en Redes", trataremos entre otros: Herramientas de consultas IP WHOIS, consultas BGP, consultas DNS, y DNS avanzadas, redirección DNS Grinding, barrido inverso de DNS, rastreo de servidores Web y sondeo SMTP entre otros.

miércoles, 28 de enero de 2015

PDF: Alternativas de Software Libre


Un post breve, pero que trata ser de utilidad para nuestras actividades diarias. La Fundación de Software Libre de Europa está llevando a cabo una intensa campaña, que pretende extender el uso de lectores de archivos PDF con licencia libre y gratuita.



 Figura 1.  Archivos PDF.

No es nueva la apuesta de los organismos públicos por uso de software privativo, en esta ocasión la campaña trata de hacer públicos los sitios web de entidades públicas que promocionan (exigiendo su descarga e instalación) aplicaciones como Adobe Reader.

En este enlace  podéis visualizar cuales son.

  Figura 2.  PDFreaders.org

La FSFE facilita una guía para que contactes con ellos, o bien te dirigas a las webs que hacen promoción de software privativo y les facilites información al respecto. 


martes, 27 de enero de 2015

Firefox - Lightbeam: Visualización del seguimiento a terceros

La mayoría de vosotros, cuando visita este blog, lo hace utilizando el navegador FirefoxGoogle Analitycs no da tregua, y absorbe a todo aquel que quiere mejorar sus sitio web, blog, o el de sus clientes. Así, que me propongo en el post diario escribir sobre una de las extensiones, que de forma particular, me parece interesante. ¿Te interesa conocer los terceros que recopilan información de tu web?


Figura 1. Extensión Lightbeam para Firefox.

Para dar crédito, os ofrezco una de las estadísticas de Analitycs sobre este sitio.

Figura 2. Informe: Audiencia/Tecnología/Navegador y Sistema Operativo.

Lightbeam surgió en julio de 2011 como "colusión", liderado por Atul Varma, desarrollador de software de Mozilla. Este joven programador, inspirado el libro El Filtro Burbuja, diseña de forma experimental una add-on, con el objetivo de registrar los datos y visualizar el comportamiento de navegación de los sitios previamente definidos.

Figura 3. Representación del "Filtro de la Burbuja".

Gary Kovacs presenta en febrero de 2012, el "Colusión" add-on en una charla TED (ahora una de las charlas TED más vistas) sobre la exposición de "seguimiento en línea".

 Figura 4. Gary Kovacs (CEO Mozilla) presentando el Colusión add-on en una charla TED.


Lightbeam es un complemento de Firefox que te permite ver los terceros que están recopilando información sobre su actividad de navegación, con y sin tu consentimiento. El uso de visualizaciones interactivas, permite a Lightbeam que muestre las relaciones entre estos terceros y los sitios que visita.

 Figura 5. Enlace a la descarga de complementos Firefox.

Lightbeam permite ver la actividad de los sitios de terceros que interactúan con la Web. Mientras navegas, Lightbeam revela la profundidad de la Web en tiempo real, incluyendo partes que no son transparentes o accesibles para el usuario medio. El uso de representaciones gráficas interactivas, permite examinar las distintas partes a través del tiempo y el espacio, identificar dónde se conectan a su actividad en línea, y ofrece diferentes formas para poder participar con esta vista única de la Web.
 

 Figura 6. Captura de pantalla de Ligthbeam.

Al activar Lightbeam y visitar un sitio web, a veces llamado el primer partido, el add-on crea una verdadera visualización en tiempo de todos los terceros que están activos en esa página. La visualización por defecto se llama la vista Gráfico. A continuación, puedes ir a un segundo sitio y poder visuzalizar los aspectos más destacados de los terceros que también interactúan. La visualización crece con cada sitio que se visita, y cada petición (servidor) hecha desde tu navegador. Además de la "vista de gráfico", también puedes obtener los datos en una "vista de lista" por la que profundizar en los sitios de forma individual.

Os propongo instalar el complemento, y probar las posibilidades. En futuros post lo comentamos, y estudiamos la forma en que se almacena la información recopilada. ¡Suerte con LigthBeam!

lunes, 26 de enero de 2015

Software libre: Aplicaciones de éxito

Son muchas y muy variadas las aplicaciones basadas en software libre, la mayoría ya hemos tomado contacto con Firefox, OpenOffice y otras de uso extendido, no obstante, trato de presentaros alguna otra que os pueda resultar de utilidad.

Gimp

Uno de los editores fotográficos más populares, con permiso, claro está, de Adobe Photoshop. Con él es posible realizar algunas manipulaciones básicas así como labores de dibujo bastante interesantes. Al contrario de lo que ocurría en Audacity, el manejo de Gimp puede ser algo complejo al principio si nunca lo has utilizado antes. Sin embargo, en este blog ya te hemos dado en alguna ocasión algunos trucos para sacarle el máximo partido.

Compatible con gran variedad de formatos, Gimp es un editor de imágenes de lo más versátil y, por supuesto, totalmente gratuito. Una herramienta en constante actualización que, además, es capaz de abrir documentos en formato PSD, por lo que podrás terminar tus trabajos de Photoshop en cualquier otro equipo que no disponga del software por excelencia de Adobe.

Figura 1. Captura del área de trabajo de Gimp.
 
Firefox

No se trata tanto de un programa de software libre, sino de código abierto (las diferencias son escasas, pero vale la pena hacer la puntualización). Sin embargo, desde su lanzamiento el 9 de noviembre de 2004, se ha convertido en una de las opciones preferidas por los usuarios de internet. El navegador, que en un primer momento iba a llamarse Phoenix, más tarde Firebird y, finalmente Mozilla Firefox, nació como un proyecto experimental en el que se buscó dotar a la suite Mozilla (que integraba un buen número de aplicaciones para la gestión de correo electrónico, edición de código HTML y otras funciones profesionales) de un navegador compatible con todo el software incluido su paquete.


En total, apenas 99 días después de su presentación en sociedad, el navegador superó los 25 millones de descargas, dos de los cuales tuvieron lugar en las 36 horas posteriores a su publicación. Desde entonces, casi una treintena de versiones han ido aportando nuevas características al software del popular zorro, siendo posible instalarlo incluso en dispositivos Android.

Figura 2. Mozilla Firefox.

Audacity

El editor de audio más extendido y el preferido por los aficionados a este tipo de labores. Su punto más interesante, además de su tremenda facilidad de manejo, es la inmensa variedad de filtros y efectos que incluye. Cada uno de ellos está desarrollado por los usuarios en función de sus necesidades puntuales por lo que, de descargar Audacity, contarás con plugins para todos los usos imaginables.

Cierto es que algunos de sus componentes podrían mejorarse, pero precisamente la licencia de este software permite que sus herramientas se vean desarrolladas en cada nueva versión, incluyéndose evoluciones de los principales códecs de exportación. De esta forma, la calidad de los archivos de salida está garantizada en todo momento.

 Figura 3. Audacity.

CamStudio

De nuevo, una herramienta enfocada a la creación multimedia pero, en este caso, en el terreno del vídeo. La mayoría de los programas destinados a la grabación de cuanto sucede en la pantalla del ordenador nos permiten aprovechar sus capacidades durante un período limitado y, en muchas ocasiones, con una marca de agua ciertamente invasiva.


Con CamStudio podrás crear videotutoriales, grabar las mejores partidas en tus juegos favoritos o cualquier otra cosa que se te ocurra y almacenar los resultados en tu disco duro en formato Flash o AVI. Una solución gratuita y muy sencilla de manejar que puede sacarte de apuros en más de una ocasión.

 Figura 4. CamStudio.

Calibre

El gestor de contenidos más práctico para usuarios de libros electrónicos. Calibre ha ganado protagonismo en la escena del software en los últimos meses gracias a la proliferación de este tipo de dispositivos. Y es que la variedad de herramientas que ofrece lo sitúan a la vanguardia en lo que a organización de bibliotecas digitales se refiere. 

Con este software es posible sincronizar el libro electrónico (sea cual sea su marca y modelo) y gestionar los títulos incluidos en él desde el PC. Además, en cada uno de ellos es posible modificar toda su meta información, convertirlo al formato que mejor se visualice en tu dispositivo e, incluso, agruparlos por temática, editorial, autor y un largo etcétera. Sin duda, la mejor solución para incluir y borrar contenidos de tu ebook con total comodidad e, incluso, recuperar tu organización interna en caso de tener que formatear su memoria.

 Figura 5. Calibre.






domingo, 25 de enero de 2015

Google Project Zero: ¿Dónde están los límites?

El pasado 15 de julio de 2014, Google anunciaba el lanzamiento de un nuevo servicio Google Project Zero. Un equipo de especialistas en seguridad informática (hackers), que se encarga desde entonces de hacer cumplir uno de los objetivos: hacer de internet un espacio más seguro.



Figura 1. Imagen Google Project Zero.

El año pasado, ha sido especialmente cruel en cuanto al incremento de ataques a sistemas informáticos; la iniciativa de Google se propone auditar las vulnerabilidades en aplicaciones fabricadas por otras compañías, tanto de software privado, como libre. No es una cuestión secundaria el interés en tomar partido por parte de la empresa 'Mountain View'.



Figura  2. Imagen ilustrativa del denominado "Ataque del día cero".
Comparto un párrafo del comunicado oficial del lanzamiento de Project Zero, que viene a resumir las pretensiones citadas anteriormente.

“Deberías ser capaz de usar la web sin temer que un criminal o alguien patrocinado por un gobierno esté explotando bugs en software para infectar tu computadora, robar secretos o monitorear tus comunicaciones. En ataques sofisticados, vemos el uso de vulnerabilidades zero-day para atacar, por ejemplo, activistas de recursos humanos o para ejecutar espionaje industrial. Esto tiene que parar. Creemos que se puede hacer más para detener este problema".
Chris Evans, Director de Investigación de Google
Google reconoció que no es invulnerable a estos tipos de ataques, por lo que han contratado la empresa de 'hacker' George Hots, GeoHot.

Figura  3. Captura de pantalla del sitio GeoHot.


El problema surge a raíz de los 'bugs'  encontrados en Windows y OX X. 


Los compromisos iniciales contemplaban la detección de vulnerabilidades, y el reporte inicial al proveedor correspondiente, nunca a terceras partes. Una vez elaborados los parches de seguridad y tras 90 días, se harían públicos.

Especial interés en la declaración inicial de técnicas, personas y entidades objetivos de los atacantes, e incrementar los esfuerzos en la reducción de los riesgos en sistemas y dispositivos.




Figura  4. Enlace a la noticia en Hipertextual.




Figura  5. Enlace a la noticia en Hipertextual.


Google se ha reservado el de publicar junto a las vulnerabilidades, el de añadir a la publicación del parche una "medida de responsabilidad". Consiste en responsabilizar exclusivamente al fabricante, de los daños producidos en sistemas y dispositivos, derivados de la divulgación pública del hallazgo de esas vulnerabilidades.

Dejamos el tema abierto; al menos de forma personal, creo interesante no sólo los descubrimientos de 'Project Zero', sino también las políticas que nos imponen desde la empresa.

sábado, 24 de enero de 2015

Software libre: 'Free Software Foundation'

 Es nuestra intención hablar y escribir "largo y tendido" sobre todo aquello que puede aportarnos valor en empresas, instituciones y a la sociedad civil en general. Presentamos hoy, sin extendernos demasiado, una de las entidades responsables de lo que acontence entorno al Software Libre.  Más del 3% de los equipos (servidores-clientes)existentes en el globo, tienen instalada alguna versión de esta tipología de software; debemos a un gran número de personas el desarrollo de una iniciativa que ha dejado de ser una 'utopía'.



 Figura 1. Logo corporativo de Free Software Foundation.

Richard Stallman, junto a otros entusiastas del software libre, creo en octubre de 1985 la Fundación para el Software Libre o Free Software Foundation (FSF) con el objetivo de divulgar conocimiento y aplicaciones desarrolladas en este formato.


La Fundación para el software libre (FSF) se dedica a eliminar las restricciones sobre la copia, redistribución, entendimiento, y modificación de programas de computadoras. Con este objeto, promociona el desarrollo y uso del software libre en todas las áreas de la computación, pero muy particularmente, ayudando a desarrollar el sistema operativo GNU.

 Figura 2. Emblema de GNU.

Añadido a la difusión de la cultura de software libre, se encuentra entre sus objetivos el crear licencias que permitan la difusión de trabajos y proteger la autoría de las mismas. 

  Figura 3. Cuadro (ejemplos) de licencias de software libre.
 

Complementariamente, realizan numerosas campañas de sensibilización con el objeto de proteger los derechos de los usuarios frente a institucines y empresas que merman de forma abusiva el mercado tecnológico.


  Figura 4. Ejemplo de campaña de sensibilización de FSF.

De forma mensual, editan y publican un 'magazine'(supporter) con todas las novedades relacionadas con actualizaciones, nuevos productos y/o servicios, eventos y campañas. relacionada con   noticias relacionadas con sus campañas, o eventos


  Figura 5. Campaña de invitación a participar en la iniciativa. 

El boletín se publica en varios idiomas; si bien en inglés en primer lugar, y en castellano en segundo, no faltan a la cita con los seguidores del movimiento. Desde estas líneas, una felicitación expresa a todos aquellos lo hacen posible (no es un trabajo baladí).


  • Número de diciembre(castellano): enlace.
  Figura 6. Mapa conceptual.
  • Todos los números publicados(castellano):enlace.

En las próximas semanas, contaremos alguna de nuestras experiencias relacionadas con las últimas versiones del sistema opertivo, y otras aplicaciones de uso extendido.

 

jueves, 22 de enero de 2015

¿Cómo ejercer el Derecho al Olvido?

Hace unos días ofrecía una introducción sobre Protección de Datos (I): ¿Qué es el Derecho al Olvido?, hoy nos toca dar unas pinceladas para favorecer el procedimiento de ejecución.

 Figura 1. Enlace a noticia Antena 3.

El 13 de mayo, el Tribunal de Justicia de la Unión Europea (TJUE) dio la razón a la Agencia Española de Protección de datos en su disputa con Google. Consideró que los servicios de motor de búsqueda en Internet son responsables de los datos personales incluidos en las páginas web que tratan.

La sentencia de este caso se remonta a 2010 y la opinión del abogado general, Niilo Jääskinen, que en junio de 2013 había dado la razón a Google. Considera que el motor de búsqueda debe eliminar los resultados de particulares cuando "esos datos se revelen inadecuados, no pertinentes o ya no pertinentes o excesivos desde el punto de vista de los fines para los que fueron tratados y del tiempo transcurrido".

Figura 2. Noticia publicada recientemente en el diario ABC.
 
Por este motivo, Google ha decidido permitir que los ciudadanos europeos puedan pedir que se retiren los links que consideran que contienen un material censurable. ¿Cómo se hace? Es tan sencillo como entrar en dicho formulario, en este enlace, y rellenar unos pocos campos que te explicamos a continuación.

   Hay que tener en cuenta que una vez que hayas enviado este formulario, Google podrá reenviar su solicitud, junto con información complementaria, a la autoridad de protección de datos pertinente, así como informar al webmaster en cuestión cuyo contenido se retire de los resultados de búsqueda a consecuencia de la reclamación.

 Figura 3. Formulario inicial elaborado por Google.

Procedimiento a seguir por los interesados

En primer lugar, el interesado debe facilitar el nombre completo para el que solicita que se retiren los resultados de búsqueda. Si rellena el formulario otra persona, debe añadirlo a continuación.


   En caso de que el que rellena el formulario no sea la persona que quiere ver sus resultados eliminados, hay que especificar la relación con la persona a la que representa (por ejemplo, "esposa" o "abogado").

El siguiente paso consiste en facilitar un e-mail de contacto y a continuación ya se podrá solicitar la eliminación de las URL que se consideren censurables por "irrelevantes, obsoletas o inadecuadas".


   En este punto, hay que ser lo más exhaustivo posible a la hora de explicar por qué se considera que esos enlaces han de desaparecer de Google, en una caja que ha incorporado la compañía en el formulario.

 Figura 4. Ejemplo de 'Aviso de eliminación de enlaces'.

Una vez facilitadas las URLs que se quieren ver eliminadas, Google quiere que el solicitante demuestre su identidad. El motivo es que recibe a menudo solicitudes de retirada de contenido fraudulentas de personas "suplantando la identidad de otras, tratando de perjudicar a sus competidores o buscando remover información legal de manera indebida".

   Para verificar la identidad, hay que "subir" al formulario de Google una copia digital "clara y legible" del documento nacional de identidad.


 Figura 5. Ejemplo.

El segundo paso en este punto consiste en marcar una casilla de confirmación de conformidad, en la que el solicitante declara estar autorizado para rellenar el formulario.

   Por último, hay que añadir la fecha en la que se cursa la solicitud y el nombre de la persona que lo hace a modo de firma, declarando así que las afirmaciones realizadas en el formulario son verdaderas, que solicita la retirada de los enlaces a las URL indicadas y que, si actúa en nombre de otra persona, tiene la autoridad legal para hacerlo.


A medida que se sucendan noticias o hechos relacionados con el Derecho al Olvido, trataremos de favorecer la comprensión con nuevas entradas en el blog.

Para finalizar, propongo realicéis las siguientes búsquedas en Google.

 Figura 6. Búsqueda "Camping Los Alfaques".


 Figura 7. Búsqueda "Hipercor".

Lamentablemente, las tragedias acontecidads en ambas empresas, forman parte de la Historia de nuestro país.  Tienen el mismo derecho, ¿por qué no es tratada de la misma forma la información disponible en Internet sobre cada una de ellas?

Fuente: