Cómo Justificar el Presupuesto para el 2009

¿ Te redujeron el presupuesto de seguridad para el 2009 ? ¿ La seguridad dejó de ser importante para el negocio de la empresa ? Acá tenés algunos tips para seguir justificando tu trabajo el año que viene...


Para el 2009 tenemos predicciones de todo tipo, desde personal de IT que se dedicará al crimen después de haber perdido su trabajo, empleados descontentos que simplemente querrán provocarle daño a su empleador, y la crisis mundial que provocará que mayor cantidad de personas se dediquen al fraude en Internet.

Así que ya sabes, si te bajan el presupuesto para el 2009, es porque vos querés! :P

Blog de Matasano

"We are going to see an increase in stupid, stupid insider attacks. People who just get mad at their employers and try to inflict damage."

Fuente: Matasano

Jobless techies turning to crime

"The credit crunch will drive IT workers to increasingly use their skills to steal credit card data using phishing attacks and to abuse their privileged corporate computer access to sell off valuable financial and intellectual information, forensic experts have warned."

Fuente: silicon.com

Fraude 2005-2008: una evolución natural

"en el primer semestre de 2008 habíamos tratado más incidentes que en todo 2007"

Fuente: s21sec

Tendencias en el fraude online

"Indudablemente otro factor muy relevante es la presente y futura situación económica mundial, puesto con mucha probabilidad forzará a ciertas personas o grupos a intentar conseguir dinero de todas las formas posibles, con lo que, además de que las estadísticas lo indican, se augura un fuerte crecimiento de cualquier tipo de fraude en Internet."

Fuente: s21sec

Yes, Virginia, There Will Be More Attacks

"Virtually every projection we've seen indicates that attacks will continue to rise in frequency and sophistication in the coming year. As the economy drops, the crime wave rises, both inside the company and out."

Fuente: darkreading.com

New attack patterns emerge in 2009

"Botnets were just the beginning. The bad guys will continue to use these to try and steal your data, but more sophisticated attacks over the application layer and targeted network attacks are on the way."

Fuente: Arbor Networks

El spam alcanzará niveles record en 2009

"El volumen de correo basura podría incrementarse hasta el 95% debido al aumento de botnets."

Fuente: SiliconNews.es

Circuito Kende - Ezeiza

El Domingo pasado corrí la 5a. fecha del Circuito Kende, una carrera de aventura con un trayecto de 10km por la zona rural de Ezeiza.

Esta fue mi segunda carrera de aventura, la primera fue la Merrell en Zárate donde se corría de noche. Si bien esta fue a plena luz del día, el terreno elegido era bastante duro, cruzando por partes de campo sembrado, desierto, bosques y en terrenos con grandes declives (sí, todo en Ezeiza).

No tenía demasiadas expectativas respecto a hacer un buen tiempo, ya que llegue a la carrera muy cansado, pero conseguí hacerlo en 47 minutos y 11 segundos, en la posición 27 de 103 corredores de la general de hombres, lo cual es un muy buen resultado para un principiante como yo.

Para lo que resta del año solamente planeo correr hasta la panadería. En el 2009 veremos cuales serán los próximos desafíos, pero mi objetivo principal va a ser finalmente correr una "maratón" (42km).

Un Resumen del 2008:

• (Dic) Circuito Kende (Ezeiza) - 10km - 47:11
• (Nov) Merrell Adventure Race (Zárate) - 7km - 38m aprox.
• (Sep) Media Maratón de Buenos Aires - 21km - 01:50:33
• (Jun) 10km de Buenos Aires - 10km - 49m aprox.
• (May) Orígenes Media Maratón - 21km - 01:55:14
• (Abr) Maratón UCEMA - 8km - 38:18
• (Mar) La Nocturna - 7km - 37:23

Gracias a Gesolmina por bancarme con este "nuevo hobbie" :-)

¿ El PenTest ha Muerto ?

Esta es la interesante discusión que se ha desatado en el objetivo y no tendencioso mercado de la seguridad informática.

Brian Chess, uno de los co-fundadores de Fortify Software, lanzo una polémica predicción (Penetration Testing: Dead in 2009) respecto a la cercana muerte del PenTest, argumentando que la necesidad de los clientes apunta a herramientas preventivas mas que herramientas que solo reportan vulnerabilidades ya existentes. Vale aclarar que el negocio de Fortify esta en la prevención, mediante herramientas de análisis de código fuente.

Por otro lado, Ivan Arce, CTO de Core Security, respondió a la predicción de Chess fundamentando las razones (Twelve Reasons Pen Testing Won't Die) por la que la práctica del PenTest no va a desaparecer. También vale aclarar que el negocio de Core es el PenTest.

En mi opinión no existe la prevención total, por lo que la práctica del PenTest va a seguir siendo absolutamente necesaria, pero por otro lado también es cierto que si los clientes ponen dinero en un lugar van a tener que sacarlo de otro, y empresas como Fortify están viviendo un crecimiento importante.

Fuente:
- Penetration Testing: Dead in 2009
- Audio_Argument_for_Pen_Testing_s_Demise (Audio)
- Twelve Reasons Pen Testing Won't Die

Port Scanning desde IOS

Recientemente se publicó en el SANS Reading Room un documento llamado "IOSMap: TCP and UDP Port Scanning on Cisco IOS Platforms".

La idea de escanear puertos desde un IOS no es nueva, pero es interesante como lo implementaron utilizando "la relativamente nueva" posibilidad de hacer scripting con TCL en IOS.

La herramienta se llama IOSMap y tiene un look and feel muy similar al de NMAP. Dentro de lo más interesante se encuentra la técnica para escanear puertos UDP, ya que como la implementación de TCL en IOS y la línea de comandos del IOS no provee formas para crear paquetes UDP, encontraron un workaround mucho más complejo con access-lists y IP SLa's que resulto ser efectivo.

Para ejecutar el script deberíamos cargarlo desde otra ubicación, como por ejemplo un TFTP, y luego este se ejecutaría en el IOS mostrando los resultados en la consola:

Router# tclsh tftp://iosmap.tcl 10.1.1.1-255 -p7-9,13,19,22-24,80,443

Tiempo atrás, cuando no contabamos con la posibilidad de usar TCL en IOS, lo más viable era realizar scripts que se logueen (con user/pass) en en router y ejecuten los comando automáticamente.

Hacia el año 2000 hice algunos scripts para pentestear desde routers Cisco, ya son bastantes viejos pero no por eso menos efectivos, asi que les dejo una breve descripción de los mismos por si les interesa probarlos:

getIOS.pl - Realiza conexiones al puerto 80 de un rango de red, y prueba por el bug del IOS HTTP Authorization Vulnerability. Muy efectivo, cuando encuentra un router vulnerable puede ejecutar un comando en el mismo, o guardar la configuración en un archivo HTML.

getCISCO.c - Realiza un brute force del login de un Router, puede probar una gran variedad de combinación de formas de brute force.

gethemp.c - Realiza un descubrimiento de una red realizando un PING desde el router a cada IP, especialemente útil para saltar desde un border router a la red interna.

ciscoBOMB.pl - Carga una combinación de routers, con sus respectivos user/pass, desde una base de datos y realiza un ataque de distribuído de DoS desde los mismos.

Pueden bajar este obsoleto código desde:
- http://www.kungfoosion.com.ar/cisco-pack.tar

Fuentes:
- IOSMap: TCP and UDP Port Scanning on Cisco IOS Platforms
- Cisco IOS Scripting with TCL
- TCL'ing Your Cisco Router

Temanme! Soy un GPEN

Hace unos meses les contaba como "SANS Desafía a los CEH" con su nueva certificación, y hoy después de un durísimo exámen me he convertido en un GIAC Certified Penetration Tester :P

El desafío de SANS era para 50 CEH de todo el mundo que deseen probar sus conocimientos respecto a GPEN. En ese momento de entre varios cientos quede en el grupo que tendría la posibilidad de rendir el exámen, sin haber realizado el training oficial y sin tener ningún material de estudio. Esta certificación tiene un costo de 900 USD, que obviamente yo no tuve que pagar.

Hoy a la mañana tome el examen, 150 preguntas multiple-choice en 4 horas, y aprobé!

Solamente por el examen puedo decir que el nivel técnico de esta certificación es altísimo, y no tiene comparación con el de CEH. Sin ninguna duda me encantaría tomar el curso oficial.

SANS solicita a los que aprobamos hacer una review oficial de la certifiación, asi que en algún momento postearé algo más completo.