jueves, 28 de febrero de 2013

Autenticación Kerberos

En esta imagen trataremos de ilustrar que el Usuario y la Contraseña nunca salen del sistema. Kerberos trabaja con Tickets, si el TGT (Ticket Granting Ticket) es descrifrado de manera correcta, probamos que tenemos la contraseña.

NT LAN Manager

NTLM es el protocolo de autenticación de Windows NT, generalmente es utilizado para cuando se autentifica utilizando una dirección IP o para autentificar equipos que no pertenecen a un dominio.

Utiliza un mecanismo denominado “challenge-response” el cual permite autentificar a los usuarios sin que estos envíen su contraseña al servidor. Luego de que se envía un “challenge message” desde el servidor hasta el cliente, este último utiliza la contraseña del usuario como clave para que pueda generar una respuesta que llegue de nuevo al servidor utilizando un hash MD4/MD5 y un cifrado DES.

Características Active Directory

  1. Utiliza el protocolo LDAP, que es un protocolo de aplicación para consultas y modificaciones de servicios de directorio. Utiliza el puerto 389 TCP. Permite organizar objetos de manera lógica y jerárquica.
  2. Utiliza una autenticación basada en Kerberos, que permite a los hosts probar su idetidad de manera segura en una red no segura. Más adelante les prometo un post exclusivo sobre Kerberos.
  3. Inicio de sesión único (SSO), como su nombre lo indica permite conectarse una vez y desde ahi acceder a múltiples lugares relacionados, sin necesidad de iniciar sesión de nuevo. Cuando iniciamos sesión con A.D. se nos es asignado un token, el cual queda en nuestra posesión para que podamos ingresar a otros lugares.
  4. A.D. permite centralizar la administración, organizando todos los recursos de la red. También permite la delegación de la administración para alivianar la carga administrativa.

Cuando nosotros instalamos A.D. en un equipo, este se convierte en un controlador de dominio, el cuál almacena la información del dominio y define sus límites.

Algunas de las característias que se habilitan en un equipo en el que se instala A.D. son las siguientes:
  • Usuarios y Equipos de Active Directory.
  • Dominios y Confianzas de Active Directory.
  • Sitios y Servicios de Active Direcotry.
  • Group Policy Management Console.

Evidentemente A.D. incrementa la seguridad en nuestra red.

Control de Cuenta de Usuario (UAC)

Con el Control de Cuenta de Usuario (UAC) podemos proteger nuestros Sistemas. 

Al hacer clic derecho sobre el ícono de la aplicación que queremos elevar privilegios podremos seleccionar la opción “Ejecutar como Administrador” tal como se ilustra en este ejemplo en Windows 8.

Mientras no realicemos esta acción, no estaremos ejecutando las aplicaciones ni realizando acciones como administradores, lo cual como dije anteriormente, permite proteger aún más nuestros Sistemas Operativos.
Otra manera es utilizando linea de comandos:
runas /user:equipo\usuario1 cmd.exe
En este ejemplo ejecutaremos el comando cmd.exe como usuario1

RADIUS y TACACS+

RADIUS (Remote Authentication Dial In User Service)  es un servidor de acceso utiliza el modelo AAA. Es un sistema de seguridad distribuida que asegura el acceso remoto a redes y servicios de red.
Consta de tres componentes:
  1. Un protocolo con un formato de trama que utiliza el Protocolo  UDP / IP.
  2. Un servidor.
  3. Un cliente.
El servidor se ejecuta en un ordenador central, mientras que los clientes residen en los servidores de acceso dial-up y pueden ser distribuidos a través de la red.

TACACS (Terminal Access Controller Access-Control System) tiene gran parte de la funcionalidad de RADIUS, pero fue extendida para cumplir con las necesidades de su creador (CISCO), como por ejemplo la utilización del protocolo TCP en vez del UDP.

Modelo AAAA

El Modelo AAA (Autenticación, Autorización y Auditoría) es un modelo utilizado para el control de acceso.

Autenticación: Proceso de identificar algo o alguien, generalmente está basado en el uso de nombres de usuario y contraseñas, con el cual se verifica la identidad.

Autorización: Brinda el acesso a objetos del sistema de información basándose en la identidad proporcionada en la autenticación.

Auditoría: Mantiene un registro de las actividades realizadas por los usuarios mientras estos están utilizando los recursos.
Un usuario puede identicarse a través de los siguientes métodos de autenticación:
Mediante algo que se sabe: Por ejemplo una contraseña.
Mediante algo que se posee: Por ejemplo, utilizando una tarjeta intenigente.

Demostrando quién es: Por ejemplo, utilizando un lector biométrico de huella digital.

Seguridad Física

Modelo de Seguridad Física

La Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Seguridad Física del ambiente

Ergonomía: “La Ergonomía es una disciplina que se ocupa de estudiar la forma en que interactúa el cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa interacción sea lo menos agresiva y traumática posible.” 

El enfoque ergonómico plantea la adaptación de los métodos, los objetos, las maquinarias, herramientas e instrumentos o medios y las condiciones de trabajo a la anatomía, la fisiología y la psicología del operador. Entre los fines de su aplicación se encuentra, fundamentalmente, la protección de los trabajadores contra problemas tales como el agotamiento, las sobrecargas y el envejecimiento prematuro.
Posibles consecuencias:
•    Trastornos Óseos y/o Musculares
•    Trastornos Visuales
•    La Salud Mental

Ambiente Luminoso: Se parte de la base que las oficinas mal iluminadas son la principal causa de la pérdida de la productividad en las empresas y de un gasto energético excesivo. Una iluminación deficiente provoca dolores de cabeza y perjudica a los ojos.

Ambiente Climático: En cuanto al ambiente climático, la temperatura de una oficina con computadoras debe estar comprendida entre 18 y 21 grados centígrados y la humedad relativa del aire debe estar comprendida entre el 45% y el 65%. En todos los lugares hay que contar con sistemas que renueven el aire periódicamente. No menos importante es el ambiente sonoro por lo que se recomienda no adquirir equipos que superen los 55 decibeles, sobre todo cuando trabajan muchas personas en un mismo espacio.

Control de Acceso: Restricción del acceso a un recurso a los usuarios, aplicaciones o sistemas informativos no autorizados.

Defensa a profundidad: Utilización de múltiples capas de seguridad para proteger los activos. Si un atacante viola una capa de defensa, cuenta con capas adicionales para mantener a esa persona fuera de las áreas críticas de su entorno.

Al diseñar un plan de seguridad física se deben tener en cuenta algunos objetivos:
Autenticación: La seguridad del sitio debe abordar la necesidad de identifcar y autenticar a las personas a quienes se les permite el acceso a un área.

Control de Acceso: Una vez que se ha comprobado y autenticado la identidad de una persona, la seguridad del sitio debe determinar cuáles son las áreas a las que esa persona tiene acceso.

Auditoría: La seguridad del sitio también debe proporcionar la capacidad de
auditar las actividades que se llevan a cabo dentro de la instalación. Esto se puede hacer mediante la revisión de los videos de las cámaras, bitácoras de los lectores de tarjetas, bitácoras del registro de visitantes, etc.

Areas Lógicas.
Perímetro exterior: Es el área más externa de la instalación. Generalmente incluye los caminos de entrada, parqueos, áreas verdes, etc.

Perímetro interior: Cualquier edificación que se encuentre dentro de la organización.

Áreas Seguras: Son las ubicaciones dentro de la edificación que cuentan con restricciones de acceso o algunas medidas de seguridad adicionales.

Perímetro Interno: Es donde se encuentra toda la información de la organización. Para asegurar el perímetro interno se pueden utilizar características que van desde cerraduras, llaves, tarjetas inteligentes, hasta detectores metálicos, de humo, etc.

Clasificación de los hackers

En este pequeño post vamos a clasificar a los hackers:
  • Sombreros negro (Black hats): Individuos con habilidades tecnológicas extraordinarias, recurriendo a actividades maliciosas o destructivas. También conocidos como crackers.
  • Sombreros blancos (White hats): Individuos profesando las habilidades hacker y utilizándolas para propósitos defensivos. También conocidos como analistas de seguridad.
  • Sombreros grises (Gray hats): Individuos propósitos ofensivos y defensivos según la ocasíón.
  • Hackers suicidas (Suicide hackers): Individuos que pretenden derrocar una infraestructura importante por “una causa” y no les importa enfrentar 30 años de cárcel por sus acciones.
Además, dentro del underground existen otra clasificación:


Patas de Palo y Parches. 

La siguiente clasificación fue extraída de varios sitios Web, evidentemente no es una clasificación tan técnica como la anterior, pero si muy útil.

·         Carta de presentación.- La policía compara su incursión en una computadora ajena con la de un ladrón en un domicilio privado; pero para ellos la definición valida es: "... no rompemos la cerradura de la puerta ni les robamos nada de sus casas, nosotros buscamos puertas abiertas, entramos, miramos y salimos... eso lo pintes como lo pintes, no puede ser un delito".
La opinión del abogado español, experto en delito informático, Carlos Sánchez Almeida parece coincidir con esta última posición al decir: "... si un Hacker entra en un sistema, sin romper puertas y sin modificar los contenidos no se puede penalizar su actuación" y va más allá al afirmar: "...que tampoco sería delito hacerse con contraseñas, siempre y cuando se demuestre que éstas no han sido utilizadas... pero será delito, en cambio, el robo de bases de datos privadas con información confidencial y... también es denunciable la "dejadez" que cometen algunas empresas que disponen de información y datos privados de usuarios y, sin embargo, no tienen sus sistemas de seguridad suficientemente preparados para evitar el robo.

·         Definición de Hacker.-   Un Hacker es una persona que está siempre en una continua búsqueda de información, vive para aprender y todo para él es un reto; no existen barreras, y lucha por la difusión libre de información (Free Information), distribución de software sin costo y la globalización de la comunicación.
El concepto de hacker, generalmente es confundido erróneamente con los mitos que existen acerca de este tema:
·         Un hacker es pirata. Esto no es así ya que los piratas comercian con la información que obtienen, entre otras cosas, y un verdadero hacker solo obtiene esa información para su uso personal.
·         Un hacker es el que entra en los sistemas ajenos y se dedica a destruir la información almacenada en ellos. El error consiste en que el que destruye información y sistemas ajenos, no es el Hacker sino el Cracker

·         Crackers .-  Los Crackers , en realidad, son hackers cuyas intenciones van más allá de la investigación. Es una persona que tiene fines maliciosos o de venganza, quiere demostrar sus habilidades pero de la manera equivocada o simplemente personas que hacen daño solo por diversión. Los hackers opinan de ellos que son "... Hackers mediocres, no demasiados brillantes, que buscan violar (literalmente "break") un sistema".

·         Phreakers .-  Otro personaje en el Underground es el conocido como Phreaker. El Phreaking, es la actividad por medio de la cual algunas personas con ciertos conocimientos y herramientas de hardware y software, pueden engañar a las compañías telefónicas para que éstas no cobren las llamadas que se hacen.
La realidad indica que lo Phreakers son Cracker de las redes de comunicación. Personas con amplios (a veces mayor que el de los mismo empleados de las compañías telefónicas) conocimientos en telefonía.

·         Carding - Trashing .-  Entre las personas que dedicaban sus esfuerzos a romper la seguridad como reto intelectual hubo un grupo (con no tan buenas intenciones) que trabajaba para conseguir una tarjeta de crédito ajena. Así nació:
·         El Carding , es el uso (o generación) ilegitimo de las tarjetas de crédito (o sus números), pertenecientes a otras personas con el fin de obtener los bienes realizando fraude con ellas. Se relaciona mucho con el Hacking y el Cracking, mediante los cuales se consiguen los números de las tarjetas.
·         El Trashing , que consiste en rastrear en las papeleras en busca de información, contraseñas o directorios.

·         Otros habitantes del Ciberespacio. Gurú, Lamer, ScriptKiddie, Newbie, Pirata

·         Gurús.- Son considerados los maestros y los encargados de "formar" a los futuros hackers. Generalmente no están activos pero son identificados y reconocidos por la importancia de sus hackeos, de los cuales sólo enseñan las técnicas básicas.

·         Lamers o Script-Kidders.- Son aficionados jactosos. Prueban todos los programas (con el título "como ser un hacker en 21 días") que llegan a sus manos. Generalmente son los responsables de soltar virus y bombas lógicas en la red sólo con el fin de molestar y que otros se enteren que usa tal o cual programa. Son aprendices que presumen de lo que no son aprovechando los conocimientos del hacker y lo ponen en práctica sin saber.

·         CopyHackers.- Literalmente son falsificadores sin escrúpulos que comercializan todo lo copiado (robado).

·         Bucaneros.- Son comerciantes sucios que venden los productos crackeados por otros. Generalmente comercian con tarjetas de crédito y de acceso y compran a los copyhackers. Son personas sin ningún (o escaso) conocimiento de informática y electrónica.

·         Newbie.- Son los novatos del hacker. Se introducen en sistemas de fácil acceso y fracasan en muchos intentos, sólo con el objetivo de aprender las técnicas que puedan hacer de él, un hacker reconocido.

·         Wannaber.- Es aquella persona que desea ser hacker pero estos consideran que su coeficiente no da para tal fin. A pesar de su actitud positiva difícilmente consiga avanzar en sus propósitos.

·         Samurai.- Son lo más parecido a una amenaza pura. Sabe lo que busca, donde encontrarlo y cómo lograrlo. Hace su trabajo por encargo y a cambio de dinero. Estos personajes, a diferencia de los anteriores, no tienen conciencia de comunidad y no forman parte de los clanes reconocidos por los hackers. Se basan en el principio de que cualquiera puede ser atacado y saboteado, solo basta que alguien lo desee y tenga el dinero para pagarlo.

·         Piratas Informáticos.- Este personaje (generalmente confundido con el hacker) es el realmente peligroso desde el punto de vista del Copyright, ya que copia soportes audiovisuales (discos compactos, cassettes, DVD, etc.) y los vende ilegalmente.

·         Creadores de virus.- Si de daños y mala fama se trata estos personajes se llevan todos los premios. Aquí, una vez más, se debe hacer la diferencia entre los creadores: que se consideran a sí mismos desarrolladores de software; y los que infectan los sistemas con los virus creados. Sin embargo es difícil imaginar que cualquier "desarrollador" no se vea complacido al ver que su "creación" ha sido ampliamente "adquirida por el público".

Ingeniería Social

Voy a ser lo más compacto, preciso y completo posible al explicar la Ingeniería Social…. comenzamos con el concepto

¿Qué es la Ingeniería Social?
Es el arte de convencer a la gente de revelar información confidencial.

Comportamientos vulnerables a los ataques
Naturaleza humada a la confianza.
Ignorancia sobre la ingeniería social.
Obligación moral.
Etc.

Factores que hacen a las compañías vulnerables
Entrenamiento sobre seguridad insuficiente.
Fugas de políticas de seguridad.
Fácil acceso a la información.
Muchas Unidades organizativas

La Ingeniería social es efectiva porque los errores humanos son más susceptibles.
  • Es difícil detectar intentos de ingeniería social.
  • No hay métodos para asegurarse completamente contra ataques de ingeniería social.
  • No hay ningún software o hardware que defienda contra la ingeniería social.

Típicas señales de Ingeniería social
  • Mostrar rápida a inadvertidamente el nombre.
  • Utilizan elogios.
  • Muestra disconformidad cuando es cuestionado.
  • Pretende, reclama autoridad si la información no es provista.
  • Hacen solicitudes informales.
  • Etc.

Fases de un ataque de ingeniería social
  • Research: Dumpster diving (buceo de basurero), sitios web, empleados, etc. Crean relaciones con empleados selectos.
  • Develop: Eligen al empleado víctima.
  • Exploit: Seleccionan a la víctima, identifican empleados frustrados, etc. Explotan la relación, recolectan información sensible, información financiera, tecnologías que utilizan en su compañía, etc.

Impactos en la organización
  • Pierde privacidad.
  • Peligros de terrorismo.
  • Pérdidas económicas.
  • Daño, etc.

Ataques de inyección de comandos
  • Online: Internet, acercarse a los empleados, persuadir.
  • Teléfono: Imitación de un usuario legítimo.
  • Acercamiento personal. Obtener información preguntando directamente.

Blancos comunes de Ingeniería Social
  • Relaciones y Help Desk.
  • Usuarios y clientes.
  • Vendedores de la organización.
  • Administradores de sistemas.
  • Soporte técnico.
  • Hacerse pasar por trabajadores de la organización.


Tipos de Ingeniería Social
Human-based. Obtienen información sensible por interacción, miedo, confianza y la naturaleza humana de ayudar.
Fingiendo ser un usuario legítimo, dar la identidad y preguntar por información sensible. “Hola soy Juan de departamento de Ventas….”
Fingiendo ser un usuario importante, haciéndose pasar por ejemplo con un cliente importante.
Fingiendo ser de soporte técnico. “Don Juan, aquí habla xx de soporte, ayer tuvimos un problema con el sistema, y estamos revisando si está todo OK, me puede dar su nombre de usuario?”

Eavesdropping: Escucha de conversaciones no autorizada, o lectura de mensajes, intercepción de audio, video, etc.

Shoulder Surfing: Procedimiento de robar passwords, identificación personal, números de cuentas, etc. Viendo sobre su hombro (shoulder) a la distancia tratando de obtener dicha información.

Dumpster Diving: Buscar un “tesoro” en la basura de alguien. Información de contacto, pagos de teléfono, información de operaciones, información financiera, etc.

Tailgating: Una persona no autorizada con una maleta entra a un área segura siguiendo a una persona autorizada cerca de una puerta con acceso con llaves o sensores, etc.

In person: Recolectar información sobre tecnologías que utilizan, información de contactos, etc.

Third-Party Autorization: Referirse a una persona importante de la organización y tratar de recolectar datos. “Don Pepe, nuestro jefe administrativo me pidió que lleve los reportes de auditoría”

Computer-based. Utilizando la ayuda de computadoras.

Pop-ups preguntando por información personal, GANASTE 1 millón de dólares.
Mails o cartas engañosas (Hoax) indicando que están infectado con virus, troyanos, worms, etc.
Cadenas de correos ofreciendo regalos gratis, etc.

Por mensajería obteniendo información personal.

Correo spam irrelevante, no deseado, no solicitado para recolectar información financiera, números de identificación, información de la red, etc.
Phishing páginas web falsas, bancos, ebay, etc.
Utilizando SMS, pidiendo tarjetas de crédito, información sensible.

Insider attack
Espiando: Especialmente los competidores.
Venganza: Personas enojadas, empleados enojados o frustrados.
60% de los ataques ocurren detrás del firewall. Un ataque interno es fácil de realizar. La prevención es difícil.

Prevención de amenazas internas
  1. No existe una prevención fácil para las amenazas internas.
  2. Políticas legales.
  3. Auditorías y logging.
  4. Acceso controlado.
  5. Privilegios mínimos.
  6. Reparación y rotación de deberes.
  7. Archivar datos críticos.

Ingeniería Social en las redes sociales para obtener información personal y/o sensible de los usuarios.

Robo de datos, riesgo de explotación de información.
Fuga involuntaria de información, sin saberlo muestra, postea o publica información sensible de la organización.
Ataques dirigidos, reconocimiento preliminar.
Vulnerabilidad de la red, fallas o bugs en la red.
Riesgos de la ingeniería social en la red de las organizaciones

Robo de identidad
Robo de información personal, ocurre cuando una persona roba su nombre y/u otra información personal para propósitos fraudulentos.
Pérdida de números de seguridad social, el impostor obtiene información personal, como números de licencias, de identificación, etc.

Como contramedidas, se sugiere:
  • Desconfiar de las llamadas telefónicas, preguntas, correos, etc. preguntando información sobre la empresa.
  • Verificar la identidad del o los solicitantes
  • Ser cauteloso al proporcionar información confidencial… estar seguros!!
  • Minimizar el uso de correo para proporcionar información financiera ni personal, especialmente porque es propenso a la suplantación de identidad.

MAGERIT

MAGERIT.- MAGERIT es una metodología de análisis y gestión de riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas.

Esta completa y muy utilizada metodología en su versión 2 (que es la única que usé, aunque se que hay una nueva versión) tiene el siguiente contenido:
Indice: Análisis de Riesgos
Identificación y valoración de activos
Identificación y valoración de las amenazas
Identificación de las medidas de seguridad existentes
Identificación y valoración de vulnerabilidades
Identificación de restricciones y objetivos de seguridad
Determinar medidas del riesgo
Determinar el impacto
Identificación y seleccionar las medidas de protección


Más información sobre MAGERIT: http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=184

Metodología de Análisis y Gestión de Riesgos intuitiva

Esta serie de formularios nos muestra como analizar, gestionar y tratar los riesgos.
Espero les sirva de ayuda.










Esta imagen muestra una Metodología de Análisis y Gestión de Riesgos que recomienda la ISO 27000. 
Es bastante fácil de entender.


Análisis y Gestión de Riesgos

En la S.I. hay un viejo dicho: “Lo que no está permitido, debe estar prohibido”
El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a estos a las personas autorizadas para hacerlo.
Por lo tanto debemos identificar, evaluar y dar prioridad a las amenazas y a los riesgos.
Las evaluaciones de riesgos generalmente se utilizan para identifcar los peligros que pudieran tener un impacto sobre un entorno en particular.
Una vez se ha terminado su evaluación e identificación de los riesgos, es necesario que se valore cada riesgo en busca de dos factores; primero, debe determinar la probabilidad de que un riesgo pudiese ocurrir en el entorno y luego determinar el impacto que ese riesgo tendría en el entorno.

Una vez que han evaluado los riesgos, se debe darles una prioridad. Un buen mecanismo  es la creación de una matriz de riesgos, la cual puede ser utilizada para determinar una clasifcación de amenaza global.
Una vez establecida la prioridad de los riesgos,  se debe elegir una respuesta para cada riesgo, que son:
  • Evitarlo, eliminando la probabilidad.
  • Aceptarlo, identificandolo para luego tomar una decisión de aceptar la probabilidad y su impacto.
  • Mitigarlo, tomando medidas para reducir su impacto.
  • Transferirlo, tomando medidas para pasar el riesgo a un tercero.

Auditoría de Seguridad de la Información

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Tipos de auditoría
Los servicios de auditoría pueden ser de distinta índole:

Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno.

Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores.

Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.

Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis es denominado análisis postmortem.

Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado.

Nos vemos en el siguiente post

Terminologías de la Seguridad de la Información

Algunas terminologías importantes en la S.I.
  • Activo: Recurso del sistema de información o que está relacionado con éste, que es necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
  • Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
  • Ataque: Es un asalto a la seguridad del sistema y que es derivado de una amenaza inteligente. Un ataque es cualquier acción que viole la seguridad.
  • Blanco de evaluación: Sistema, producto o componente que es identificado/sometido y que requiere de evaluación de seguridad.
  • Desastre: Interrupción de la capacidad de acceso a la información y procesamiento de la misma.
  • Día cero: Una amenaza informática que trata de explotar las vulnerabilidades de aplicaciones informáticas que son desconocidos para los demás o no revelada por el desarrollador de software.
  • Explotación (exploit): Es un método definido que viola la seguridad de un sistema de información a través de una vulnerabilidad.
  • Impacto: Medicion de la consecuencia al materializarse una amenaza.
  • Riesgo: es la posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.
  • Vulnerabilidad: Existencia de debilidad, diseño o implementación de un error que puede desencadenar un evento comprometedor indeseado e inesperado en los sistemas de información.

Seguridad Informática

Seguridad Informática
Buenas.
Desde mi punto de vista, la Seguridad Informática es una materia importantísima que debería incluso darse en colegio para que las generaciones que vienen estén preparadas para asegurar la información digital.

Una buena manera de comenzar a estudiar Seguridad Informática es realizando el EXAMEN 98-367 de Microsoft Corp.

Vamos a realizar varias publicaciones, tratando principalmente de cubrir los requisitos para este examen.

Comenzamos……

Concepto de Seguridad Informática:

Existen varios conceptos de S.I., pero el que más me llamo la atención es este que lo saqué de un libro de Ethical Hacking que compré en Argentina:
“Seguridad Informática: Conjunto de medidas de prevención, detección y corrección orientadas a proteger la confidencialidad, integridad y disponibilidad de los recursos informáticos.”
Bien, teniendo uno de los conceptos escrito, tenemos que indicar que la S.I. tiene tres elementos fundamentales que son:

Integridad, Confidencialidad y Disponibilidad

- Integridad: Es la fiabilidad de los datos o recursos en términos de prevención de cambios inadecuados y no autorizados, es decir, que la Integridad evita modificaciones de la información por parte de personal no autorizado.
- Confidencialidad: Es la ocultación de información o de recursos,por lo que la Confidencialidad previene el acceso no autorizado a la información, de forma intencionada o no.
- Disponibilidad: Es la capacidad de utilizar: la información o recursos deseados. La Disponibilidad proporciona acceso seguro a la información en el momento que se precisa.

Conociendo estos conceptos, podemos seguir avanzando en la materia en los siguientes Posts.

Lineas de Soporte Gratuito de Microsoft

Bueno, tanto tiempo sin bloguear!!!! Ahora estoy de vuelta con varios Posts, espero les sea de su agrado.
Comencemos por este

Varias veces me preguntaron cómo acceder al Soporte Gratuito de Seguridad de Microsoft sin tener que recorrer por varios minutos las bases de conocimientos, pues les paso los datos:
Soporte de seguridad para usuario final: http://www.microsoft.com/latam/protect/support/default.mspx
Soporte de seguridad para usuario corporativo: http://support.microsoft.com/default.aspx?ln=ES-LA
También pueden comunicarse con las líneas de teléfono gratuitas de soporte para Latinoamérica: http://support.microsoft.com/gp/contactusen/?ln=es-la