Cuidado con lo q CIFRAS !!!! (Beware much of your encryption on your system)

Cordial saludo Amig@s,

Como medida de seguridad tenemos presente que uno de los controles que se deben establecer es el uso de protocolos cifrados o utilizar tecnicas de ciframiento de informacion. 

Pero, te has puesto ha pensar si realmente tu informacion va cifrada??? 

Has auditado tus procesos o tramas para verificar si tu informacion realmente no es legible?? 

Crees posible que tu informacion sea capturada y suplantada por informacion capturada de tu Red a pesar de ser cifrada??? 

Se aplican malas practicas de desarrollo en tus aplicaciones??

....................................................................

Bien, a continuacion les presentare algunas evidencias que he extraido de procesos reales de Auditorias de Seguridad en donde supuestamente aplicamos mecanismos de cifrado seguro pero la realidad no deja de seer otra que nos expone a un alto riesgo de seguridad.

Captura de informacion en HTTPS que nos permite identificar:

1. Cuenta de correo
2. Sistema Operativo
3. Tipo y Versionde Navegador
4. Lenguaje
5. Tipo de archivos a aceptar
6. Cookies y token de gmail

Informacion que le permite identificar plenamente las caracteristicas que un atacante utilizaria para ataques tipo APT o envio de malware dirigido.

Nuevamente tomando una sesion de Facebook.

Reconocimiento de la arquitectura de la infraestructura del aplicativo Web:

1. Construccion en JAVA (version de java, user agent)
2. Ip del servidor
3. Urls, componentes, modulos, componentes, recursos del sitio Web.
4. Tipode archivos q acepta
5. Servlet /2.5
6. Servidor Sun GlassFish Enterprise Server v2.11

Informacion de login.live.com recuperada de tramas de red con contraseñas en texto plano e informacion relevante de la estacion de trabajo, (SO, Browser, versiones, tipos de archivos, etc)

Tramas de archivo con informacion de la infraestructura del Servidor / Cliente de Correo, permitiendo visualizar los java scrips del cliente de correo Web Mail "RoundCube WebMail Client Script".

1. SO del cliente del Usuario Windows NT 5.1SV1
2. Browser Firefox Mozilla/4.0
3. Host Servidor de Correo
4. Urls del servidor
5. Sistema operativo Linux Debian
6. Servidor Apache/1.3.34
7. mod_jk/1.2.18
8. PHP/4.4.4-8
9. Java Script RoundCube Webmail Client

 Situacion similar con la pagina de un Banco q se carga en la Red.

1. Enumeracion de Urls, recursos y componentes del sitio Web
2. El sitio Web realiza un referrer a un subdominio del sitio, el atacante podria intentar aprovecharlo como un  proxy redireccionando a una Web falsa (web spoofing)
3. Informacion de la estacion de trabajo del usuario cliente (SO, Browser, Agent, etc)
4. Cookies
5. Host del Servidor Web del Banco
6. Arquitectura ASP.NET, Servidor Web Microsoft IIS/6.0
7. Funciones Java del desarrollo de la aplicacion.

Otra aplicacion critica en produccion.......

A S U S T A D O.................................

QUIEREN ALGO MAS GRAVE AUN, observen esto.......

CUIDADO CON LO Q CIFRAS!!!!!!!!!!!!    =O   :/   :(

E S T A S   S I   S O N   M A LA S   P R A C T I C A S   :(

Ahora no te ganas nada con cifrar si ademas de eso, tienes malas practicas como las de quemar contraseñas para facilitarte la vida en tu actividad de Desarrollo Web.

O no ganas mucho si utilizas protocolos cifrados, pero cometes otros errores como las referencias a objetos de forma indirecta, permitiendo descargar informacion critica y sensible de tu aplicacion Web, el framework de tu aplicativo, configuracion de tus scripts SQL o Bases de Datos.

Ademas de configuraciones defectuosas de tu servidor!!!!   :(

O si olvidas de gestionar tu seguridad y politicas a nivel de LocalHost......

Por eso no te fies de tu sistema si no lo has asegurado... mira estas claves de VNC

Informacion en texto plano puesto q no es cifrada totalmente.

Asi tambien el uso de protocolos cifrados para VoIp

Cuidado con los archivos de config XML



No es suficiente con codificar en Base64 puesto que un atacante fácilmente lograra descifrarla como se muestra a continuación

QUE FALLA DE GRANDES COMO GMAIL, LIVE.MAIL, FACEBOOK, YAHOO...............

Uffff creo q ni Gmail se salvo de esto :(

HASTA YO CAI  ('L')?
Como les gustaria a algunos esto diciendome "LA VENGANZA ES DULCE, MUY DULCE" xDDD

Una Más:

Ni su servicio de WebMail se salva :/

Ahora los servicios de correo mas populares :D

P E RO    A U N   H A Y   M A S   F  A  I  L !!!!!

Ahora veamos otros dispositivos en donde cifrar la autenticacion no es suficiente, puesto que la informacion de Gestion y Administracion queda expuesta brindandole mayor porosidad a la plataforma informatica y ampliar el espectro del atacante.

Cisco 2600 IOS 2600..........

Y si hablamos de Bases de Datos con ciframientos debiles..........

Y q tal los usuarios de Windows............

Esta no podia falta es muy popular pero en fin una realidad latente..................

No se olviden q los certificados tambien pueden ser capturados o falseados ..........

 

Asi q ve y revisa tus mecanismos de ciframiento puesto que pueden estar brindando informacion sensible de tu Organizacion, si te preocupa esta situacion seriamente es mejor entonces que te documentes tambien de ataques mas avanzados que pueden afectar tu plataforma informatica, tal vez te interese leer sobre:

Man in the middle attacks Demos - Black Hat

BEAST: Attacking SSL/TLS

New Techniques for Defeating SSL/TLS 

Q no te cojan con los 

CALZONES ABAJO DE TU SEGURIDAD !!!!

Nos vemos en otra ocasion,

Bytes

Dino.

GPG esta vez with nails!!! by D7n0

Saludos,

Deseo compartir con todos mis lectores el contenido tematico de un material que corresponde al modulo de Aseguramiento de Datos en la Universidad Cooperativa de Colombia, el cual se lo facilite a mi buen amigo Carlos para que inicialmente lo subiera como articulo en su gran blog http://carlosrodallega.blogspot.com y hoy lo hago publico e incluyo en mi Bitacora Virtual el Mundo de Dinosaurio.

Mis mas sinceros agradecimientos a @crodallega por brindarme el honor de publicar uno mas de mis letras en su Blog del cual paso a citar sus amables palabras:

¿Cómo fue?, simplemente les comento aquí entre nos, que mi buen amigo también es un fiel lector de mi blog y en el momento que vio la publicación anterior me dijo: “esta buena pero me gusta más por comandos”  y me ofreció la documentación que el día de hoy con su autorización les traigo, eso sí, esta es una version del tema de la publicacion anterior solo que enfocada para aquellos que les gusta hacer las cosas desde el ">" ó "$" y a los que les gusta el poder "#" (¿se perdieron? esos son los simbolos de las diversas consolas) 

No siendo mas les comparto la presentación tal y como me la pasó

He aqui la presentacion:


Enjoy reading,


Bytes



Dino

Seminario Tecnologico - SISTEMAS COMPUTACIONALES ATRAVES DE MEDIOS TECNOLOGICOS

Saludos a todos los q invierten su tiempo en este Blog,

Universidad del Valle organiza Seminario de Tecnología

Hoy quiero extenderles la invitacion para el  Seminario Tecnologico - SISTEMAS COMPUTACIONALES ATRAVES DE MEDIOS TECNOLOGICOS que se llevara acabo los dias 6 y 7 de Septiembre de 2012 Organizado por la Universidad del Valle (Sede Yumbo). El seminario esta enfocado en dos temas:

• DiaJUEVES 6 DE SEPTIEMBRE. (TEMA: SEGURIDAD INFORMÁTICA)

• VIERNES 7 DE SEPTIEMBRE. (TEMA: INTELIGENCIA ARTIFICIAL Y HCI)

Universidad del Valle organiza Seminario de Tecnología 

Y esta es la Agenda del Evento.

JUEVES 6 DE SEPTIEMBRE. (TEMA: SEGURIDAD INFORMÁTICA)

8:00 Apertura del evento.

Inscripción.

Entrega de escarapelas y Material

8:30 Acto de Inauguración

9:00 Conferencia Seguridad Informática: “Negligencia Vs Desconocimiento”. Adm. JOHN JAIRO HERNANDEZ – Investigador en Informática Forense – Universidad Autónoma de Occidente

10:15 Receso

10:45 Ponencia “Seguridad informática. Pensando como un Intruso”. Ing. Héctor Fabio Domínguez. Unidad Central del Valle.

Receso para Almuerzo

2:00 Conferencia Seguridad en redes: "La evolución del malware".–. Expositor: Msc Siler Amador. Universidad del Cauca.

3:30 Receso

4:00 Conferencia Informática Forense. Phd. Juan Manuel Madrid. Universidad ICESI

5:00 Conferencia: Computación Forense Sobre Linux. Adm. JOHN JAIRO HERNANDEZ – Investigador en Informática Forense – Universidad Autónoma de Occidente

6:00 Cierre de la primera jornada.

 VIERNES 7 DE SEPTIEMBRE. (TEMA: INTELIGENCIA ARTIFICIAL Y HCI)

8:00 Inicio jornada.

8:15 Ponencia Incorporación de nuevas tecnologías para el control robótico a través de interfaces cerebro computador. José Olmedo Soto Y Carlos Julio Peña. Candidatos a grado de ingeniería de sistemas Universidad UCEVA.

9:00 Conferencia La web Semántica como Apoyo al Análisis Bioinformático. Phd. Luis Fernando Castillo. Universidad de Caldas

10:30 Receso

10:45 Conferencia (duración 40 minutos + preguntas 20 minutos). Interfaces

Multiculturales. Phd. Cesar Alberto Collazos. Universidad del Cauca.

Receso para almuerzo.

2:00 Conferencia Ingeniería del Software Global. Phd. Sergio Gustavo Zapata. Universidad Nacional de San Juan Argentina.

3:30 Receso

4:00 Conferencia Técnicas de Inteligencia Artificial, para el Uso en Interfaces Humano Máquina. Paulo Andrés Vélez. Msc Universidad del Valle.

5:30 Conversatorio Balance de la Jornada.

6:00 Cierre del Evento.

NO FALTEN, los q puedan ir..............

Jejej


Bytes



Dino

PD:

Informes:http://www.seminariouvyumbo.com
info@seminariouvyumbo.com