Saludos Ami@s,

En una bonita tarde de Sol radiante y el murmullo de la brisa golpeando en la ventana de mi habitacion, el ruido ensordecedor de mi hijo jugando en su Consola (Operacion 7) ..........................

Disfrutando de un apacible descanso en mis aposentos con el control de mi TV-Cable a un lado y sosteniendo la Table entre las adormecidas y ondeante movimientos de las manos, se despabilan mis pupilas despertandome del entresueño de las letras del Twitter y mis pensamientos.

Para dar cabida a la lectura de la nota que deja nuestro buen amigo y profesional de la SeguInfo Col @Bambino0710 expresando su eceptisismo, profunda duda que refleja el estado actual de nuestros sitios GuE GOB / EDU/ CO sus planteamientos, acciones y preparacion en la Defensa de nuestros Gobernantes y sus Fuerzas Especiales Ciberneticas del articulo extraido de EL TIEMPO

Mindefensa blinda al país contra la ciberguerra

No obstante, llegan a mi recuerdos de mi ajetreada madrugada de consumo de Opio Electronico

En la inmersion de ese ciberespacio para preparar unas clases de seguridad informatica, realizando la ardua, dispendiosa, tediosa y gratificante tarea de la "Recolecion de Informacion Competitiva Inteligente" o conocida tambien como el Footprinting / Fingerprint, haciendo uso de diversas herramientas de las cuales para estas letras voy a hacer solo referencia al Hacking Google.

Como si el periodico EL TIEMPO hubiese dado respuesta a mis pesares expresados en mi Twitter @d7n0 en esa madrugada sobre el estado actual de los diversos Portales / Vortales/ Sitios Web de las entidades Estatales / Gubernamentales / Educativos q como resultado de una expresion no muy avanzada de los terminos y mecanismos de los motores o arañas de busqueda de Google, dejaban al descubierto la patetica y lamentable realidad de la inversion y situacion de Seguridad Web de muchos de los sitios que por su Good Will, Know How, e Importancia cumplen un papel importante y critico en el Desarrollo, Evolucion, Crecimiento, Factor diferenciador no solo Comparativo y Productivo de un Pais.

Asi, con un desconcierto emiti estos twitter no se si como reflejo a la tristeza de esta cruel realidad o al impulso q me motiva a advertir a sus responsables que no toman conciencia, no interiorizan por Negligencia o Desconocimiento para q tomaran cartas en el asunto.

De q trata esto, como me gusta a mi con plastilina, esta vez con hechos :D

Informacion q esta clasificada como CONFIDENCIAL, pero...........

Veamos unos casos especificos el resto se los dejo de tarea.

Ok, cada quien puede analizar lo critico y sensible q pueda ser la informacion.

Pero continuemos.........................

Quieren Más:

Sigamos pues xD

Ahhhh lo q les gusta es q YO trabaje y les muestre evidencias xD

Despues de varios reportes Esta ya la corrigieron despues de reportarla pero desafortunadamente aun :(

Ufff me canse :/

Mejor dicho, cuanto crees que podria lograr realizando las consultas acertadas?????

Crees q he hecho algo de un Sup3r H4x0r 3l173 como los villeros q se juakearon @Dragonjar??? xDDDD

~~Tenia q qdar inmemorable en mi Blog de alguna forma esto solo fue excusa xDDDDDD~~

Nahhhh..............

Te impresiona, lo critico y sensible de la informacion en manos de tu Estado????

Como les dije si esto lo puede hacer cualquiera simplemente haciendo uso de las consultas adecuadas, de hecho apartir de una simple consulta "Como hackear con Google"

Q HARA UN SUPER H4X0R 3L173, q realmente con conocimiento avanzado y aplicando no solo diversas tecnicas, practicas metodologicas y know Underground????

Q DIOS ME LIBRE DE LOS JUAKERS!!!! :D

Quien responde por mi informacion???

Crees q he cometido un Delito???

NAHHHH......... SOLO HE CONSULTADO INFORMACION QUE HAY DISPONIBLE PARA BIEN O MAL EN EL CACHE DE LOS SERVIDORES DE GOOGLE !!!! O CREES Q EL MIRAR ES UN DELITO????

~~Haciendo lo Imposible para salvar este Articulo y dejes un comentario xDDDD~~

Pero.........

Mucho cuidado con lo q planees hacer apartir de la informacion q recopiles............

Como siempre he dicho si haces las cosas mal "Toallita, Vaselina, Valor y a Disfrutarlo" por q te van a penalizar!!!!

Por q este no ha salido aun y te esta esperando para q le laves la cosa y la ropa...... xD

Este hombre es considerado el segundo asesino en serie del mundo. Luis Alfredo Garavito Cubillos

Con la Ley:

Esperemos q esto no sea mas cortina de humo, aumento de popularidad, estrategias de marketing politico, o como cosa rara proyectos q engorden los bolsillos de los corruptos delincuentes de cuello blanco, que se haga una realidad y se convierta en un esquema de seguridad cibernetico de reconcimiento Internacional como referente mundial, a ver si por fin se le ve la cara a los Organismos de Defensa que supuestamente nacieron apartir del CONPES

Y TU Q PIENSAS????

Enjoy Reading............

Bytes

Dino

Cordial saludo Amig@s,

Como medida de seguridad tenemos presente que uno de los controles que se deben establecer es el uso de protocolos cifrados o utilizar tecnicas de ciframiento de informacion.

Pero, te has puesto ha pensar si realmente tu informacion va cifrada???

Has auditado tus procesos o tramas para verificar si tu informacion realmente no es legible??

Crees posible que tu informacion sea capturada y suplantada por informacion capturada de tu Red a pesar de ser cifrada???

Se aplican malas practicas de desarrollo en tus aplicaciones??

....................................................................

Bien, a continuacion les presentare algunas evidencias que he extraido de procesos reales de Auditorias de Seguridad en donde supuestamente aplicamos mecanismos de cifrado seguro pero la realidad no deja de seer otra que nos expone a un alto riesgo de seguridad.

Captura de informacion en HTTPS que nos permite identificar:

Cuenta de correo
Sistema Operativo
Tipo y Versionde Navegador
Lenguaje
Tipo de archivos a aceptar
Cookies y token de gmail

Informacion que le permite identificar plenamente las caracteristicas que un atacante utilizaria para ataques tipo APT o envio de malware dirigido.

Nuevamente tomando una sesion de Facebook.

Reconocimiento de la arquitectura de la infraestructura del aplicativo Web:

Construccion en JAVA (version de java, user agent)
Ip del servidor
Urls, componentes, modulos, componentes, recursos del sitio Web.
Tipode archivos q acepta
Servlet /2.5
Servidor Sun GlassFish Enterprise Server v2.11

Informacion de login.live.com recuperada de tramas de red con contraseñas en texto plano e informacion relevante de la estacion de trabajo, (SO, Browser, versiones, tipos de archivos, etc)

Tramas de archivo con informacion de la infraestructura del Servidor / Cliente de Correo, permitiendo visualizar los java scrips del cliente de correo Web Mail "RoundCube WebMail Client Script".

SO del cliente del Usuario Windows NT 5.1SV1
Browser Firefox Mozilla/4.0
Host Servidor de Correo
Urls del servidor
Sistema operativo Linux Debian
Servidor Apache/1.3.34
mod_jk/1.2.18
PHP/4.4.4-8
Java Script RoundCube Webmail Client

Situacion similar con la pagina de un Banco q se carga en la Red.

Enumeracion de Urls, recursos y componentes del sitio Web
El sitio Web realiza un referrer a un subdominio del sitio, el atacante podria intentar aprovecharlo como un proxy redireccionando a una Web falsa (web spoofing)
Informacion de la estacion de trabajo del usuario cliente (SO, Browser, Agent, etc)
Cookies
Host del Servidor Web del Banco
Arquitectura ASP.NET, Servidor Web Microsoft IIS/6.0
Funciones Java del desarrollo de la aplicacion.

Otra aplicacion critica en produccion.......

A S U S T A D O.................................

QUIEREN ALGO MAS GRAVE AUN, observen esto.......

CUIDADO CON LO Q CIFRAS!!!!!!!!!!!! =O :/ :(

E S T A S S I S O N M A LA S P R A C T I C A S :(

Ahora no te ganas nada con cifrar si ademas de eso, tienes malas practicas como las de quemar contraseñas para facilitarte la vida en tu actividad de Desarrollo Web.

O no ganas mucho si utilizas protocolos cifrados, pero cometes otros errores como las referencias a objetos de forma indirecta, permitiendo descargar informacion critica y sensible de tu aplicacion Web, el framework de tu aplicativo, configuracion de tus scripts SQL o Bases de Datos.

Ademas de configuraciones defectuosas de tu servidor!!!! :(

O si olvidas de gestionar tu seguridad y politicas a nivel de LocalHost......

Por eso no te fies de tu sistema si no lo has asegurado... mira estas claves de VNC

Informacion en texto plano puesto q no es cifrada totalmente.

Asi tambien el uso de protocolos cifrados para VoIp

Cuidado con los archivos de config XML

No es suficiente con codificar en Base64 puesto que un atacante fácilmente lograra descifrarla como se muestra a continuación

QUE FALLA DE GRANDES COMO GMAIL, LIVE.MAIL, FACEBOOK, YAHOO...............

Uffff creo q ni Gmail se salvo de esto :(

HASTA YO CAI ('L')?
Como les gustaria a algunos esto diciendome "LA VENGANZA ES DULCE, MUY DULCE" xDDD

Una Más:

Ni su servicio de WebMail se salva :/

Ahora los servicios de correo mas populares :D

P E RO A U N H A Y M A S F A I L !!!!!

Ahora veamos otros dispositivos en donde cifrar la autenticacion no es suficiente, puesto que la informacion de Gestion y Administracion queda expuesta brindandole mayor porosidad a la plataforma informatica y ampliar el espectro del atacante.

Cisco 2600 IOS 2600..........

Y si hablamos de Bases de Datos con ciframientos debiles..........

Y q tal los usuarios de Windows............

Esta no podia falta es muy popular pero en fin una realidad latente..................

No se olviden q los certificados tambien pueden ser capturados o falseados ..........

Asi q ve y revisa tus mecanismos de ciframiento puesto que pueden estar brindando informacion sensible de tu Organizacion, si te preocupa esta situacion seriamente es mejor entonces que te documentes tambien de ataques mas avanzados que pueden afectar tu plataforma informatica, tal vez te interese leer sobre: