Hacker Nation: Mercado negro busca hacker local

"Buscamos gente joven con conocimientos de internet, para hacer trabajar desde casa. Sueldo 3.000 euros. "
De aquí a unos años podemos ver anuncios con este contenido, recrutando jovenes hackers. Formando parte del ejercito de soldaditos que algunas organizaciones necesitan, para las tareas menos técnicas, borrar huellas, ganar potencia de fuego o simplemente para utilizarlos de carne de cañón.
Pero entre esto y la sobreproducción de excelentes técnicos e ingenieros, la deriva del problema de oferta de trabajo, puede conducir a gente con un futuro brillante a cometer estupideces. Entre ellas escribir código para robar información, capturar tarjetas o generar ingresos directos mediante compras fraudulentas desde dispositivos de usuarios lícitos o visitas a publicidad robotizadas.

 Por otra parte, empezaremos a ver más y más ataques originados "cerca", y "muleros" que mueven dinero de cuentas robadas a MoneyGram o WesternUnion. El método es sencillo, y la utilización de estas personas también. Además con todos los negocios online, es muy fácil blanquear dinero, sea mediante descargas de un software de pago en una web, servicios de hosting, consultoria, casinos, o juegos. Todos esos juegos online, con funcionalidades freemium. Y es curioso que la gente, compre y venda avatares, funcionalidades o pantallas. Pero, y la gente que gana dinero jugando online?

http://www.lavoz.com.ar/noticias/sucesos/como-los-narcos-los-hackers-de-bancos-usan-mulas

Esto es solo para aquellos rezagados de la clase de delitos online. Pero y aquellos que han dado otros pasos extras, como participar de extorsión a empresas con negocio online, o ddos por encargo de otras empresas que en épocas criticas quieren deshacerse de su competencia?

http://www.techweekeurope.co.uk/news/ddos-market-84390

Como siempre hay negocios permanentes, contraseñas de redes sociales, acceso a contenido privado de smartphones, keyloggers...http://www.shodanhq.com/
La única buena noticia es que la seguridad es algo que se va a demandar cada vez más, e incluso se va a convertir en algo necesario a nivel doméstico.

Hth,

Robclav

El cazador oculto: Arbor networks protección antiDDOS

 El cazador oculto(el guardian entre el centeno), es una obra de J. D. Salinger , que hace una metáfora de alguien que se carga a sus espaldas la responsabilidad de proteger a los niños, pero que a la vez se mantiene oculto.
Proteger y permanecer oculto, es lo que hace Arbor Networks, y sus equipos de protección ante ataques de denegación de servicio. Actualmente, existe una gran variedad de motivaciones por las cuales una organización se puede ver atacada:
Hacktivismo, protestas online, manipulación del mercado, cyberguerras, extornsion, cyberterrorismo, etc.

Pero cuantas formas hay de combatir estos ataques? Es seguro desviar todo nuestro tráfico a un centro de limpieza online? Son todos los mismo tipos de ataques? Esto lo puede hacer mi operadora por mí? Que diferencias hay entre un IPs y Arbor networks?
Las respuestas, evidentemente conducen a que es necesario contar con un equipo de contramedidas ante un ataque de denegación de servicio. El primer asunto, es dividir el problema para maximizar la protección. Esto se traduce en un equipo que se encarga de los ataques volumétricos (Peakflow) y otro que se encargan de los ataques más complejos orientados a explotar vulnerabilidades de aplicación o de spoofing(Pravail).
Esta división se da, pese que a todos los ataques quieren explotar un vector de ataque que deje a los recursos a proteger sin cpu, sin sockets o simplemente sin memoria. Con recursos, nos referimos a servidores, pero también a routers, firewalls, balanceadores, switches...etc. Todos pueden verse afectados, y con cualquiera de ellos, el o los ataques conseguirían el objetivo.
Bien, podríamos pensar que con un IPS podríamos parar estos ataques, pero alguien conoce algún IPS capaz de inspeccionar y proteger 1,5 Teras de tráfico en tiempo real? Básicamente, por como trabaja un IPS, y la latencia que puede añadir lo hace inviable. De ahí, es de donde nace la necesidad de crear un equipo donde haya diferentes capas de inteligencia, desde las medidas de comprobación más básicas a las más complejas. Cualquiera de las cuales puede descartar un tráfico, y además en aquellas que se tiene que comparar patrones se hace de una forma muy simple, permitiendo un gran rendimiento.
Añadir que estos equipos están pensados para no ser detectados, ser robustos y además no trabajan basándose en estados. Básicamente, buscan eliminar el máximo número de posibles vectores de ataque. Y aunque casi nadie los conoce, son los encargados de proteger de forma ANONYMA, de la mayoría de organizaciones importantes. Tanto directamente como indirectamente mediante los servicios de las operadoras.
Hth,
Robclav

Citrix va de compras, Zenprise es comprada

Es una historia que se repite, Mikonos software, solución que expliqué en Julio de 2011, posteriormente fue comprada por Juniper(http://robclavbcn.blogspot.com.es/search?q=mykonos). Ahora es el turno de la solución de MDM Zenprise. Esta semana y por sorpresa, Citrix ha anunciado la compra de esta Start-Up excelente de tan solo 7 años de vida. 
http://bits.blogs.nytimes.com/2012/12/05/citrix-acquires-mobile-security-start-up-zenprise/

MDM: El reto de estar entre los VIPS y el Infojobs

http://www.mobco.be/wordpress/2012/05/20/mobileiron-leads-the-gartner-magic-quadrant/

Mobile Device Management es la tecnología más activa en las necesidades de los departamentos de IT. La democratización de dispositivos smartphones y tablets, ha disparado los requerimientos en las redes wifi, en la seguridad y la gestión de plataformas externas. Todo esto podría ser lo que leemos en las webs de ciertos fabricantes o incluso, aquellas revistas especializadas en tecnología. 

El problema es sencillo, los VIPS tienen nuevos "juguetes": ágiles, agradables, pequeños y multimedia. Para colmo son un entretenimiento para toda la familia, y para esos pocos momentos de ocio. Y aquí empiezan los problemas. ¿Cómo le dices al dueño de la empresa, que su ipad no lo puede conectar al wifi? ¿Cómo le dices al jefe, del jefe de tu jefe que sus hijos no pueden instalarse juegos en el iphone que el mismo se ha comprado? o ¿Cómo le digo al financiero y responsable de recursos humanos que no puede acceder a su propia información con su tablet, mientras esta de supuestas vacaciones con la familia? Si estas buscando un despido procedente, puedes hacer estas preguntas mientras miras el infojobs, sino, necesitas un MDM.(Aquí tenéis un extracto del conocimiento e interés de los CEOs de la mayoría de empresas)

Las principales claves de MDM, permiten decidir que aplicaciones se pueden instalar, hacer borrados parciales o totales de la información, cifrar el contenido, cerrar túneles, compartir información en la nube o crear comparticiones seguras de aplicaciones e información corporativa.
Tal y como muestra Gartner, hay 5 soluciones de gestión de plataformas móviles recomendadas. Como ya he comentado con anterioridad, el eje de las ordenadas (Y) se corresponde con el músculo financiero, tiempo de vida de la empresa, volumen de ventas, soporte técnico o canal.  Y el eje de las abscisas(x) se corresponde con la tecnología. Y a mí particularmente que un producto se venda mucho, o que tenga mucho dinero invertido, no me dice nada. Pero que sea el que me ofrezca la mejor solución, sí.
Evidentemente, el producto denominado visionario, es Zenprise.
Así que, mi recomendación para extender el perímetro de seguridad y control de la red, a los dispositivos móviles es utilizar este MDM, porque aunque hagas esas preguntas a tu jefe, en la nueva empresa también habrán los malditos BYOD.
Hth,
RobClav

Cazadores de Mitos: Paloalto finalmente no esta en venta

No se si habéis visto algún capítulo de estos dos científicos locos, pero se dedican a la demostración o refutación de mitos. Yo vi un capítulo, donde demostraban que era cierto que un ejercito había demolido un puente, al caminar la tropas a un ritmo que provocaba una vibración concreta. Con dicha vibración el puente empezó a vibrar hasta su demolición.

Pues algo así me ha pasado con la noticia del post pasado, que ha generado tanta expectación como comentarios. Al final me ha llegado la refutación de la noticia, Palaolto no está en venta. Y tampoco ha mantenido negociaciones con Cisco. Pues vaya chasco, porque entonces no entiendo que pasa con el departamento de seguridad de Cisco. Ya que las mejoras prometidas como reconocimiento de aplicaciones, reglas por usuario y demás, están por llegar. Los equipos no han avanzado nada en años, y para colmo la persecución de los NGN la tienen muy lejos. 

Hth,

Robclav

Paloalto se deja querer...por Cisco

(Antes de leer este Post, revisar el siguiente. Parece que es la noticia es un mito...)
Paloalto Networks es la presa para abatir. Es un caramelito que cotiza en bolsa, que tiene varios pretendientes. En concreto esta confirmado que Cisco ofreció este verano 2,4 Billones de dólares por su compra, la gente de PAN dijo que no. PERO, porque les han pedido 4 Billones de dólares.

Fuent :http://www.bradreese.com/blog/panw-7-24-2012.htm

Todo esto podrian ser rumores intencionados de los competidores, de Cisco o incluso internos, pero hay un hecho que es clave. Desde la salida a bolsa, se llego a un acuerdo que durante 6 meses no se podían vender acciones. No obstante, se pueden "cambiar" en el mercado secundario. Y la gran pregunta es, ¿quién lo esta haciendo? 

"The largest fraction of the shares on offer is 1.5 million being offered by Globespan Capital Partners. Tenaya Capital is selling 566,000 shares and Nir Zuk, the company’s CTO, is selling 200,000 shares."
Imporante tener en cuenta que cuando Nir Zuk vende las acciones, debe ser porque se prepara para montar su siguiente start-up. http://247wallst.com/2012/10/18/palo-alto-networks-slides-on-secondary-offering/

Mientras las negociaciones de compra, se suceden, a nivel tecnológico los competidores han puesto sus motores de I+D+i , a toda máquina. Y a nivel de discurso todos han conseguido atrapar a Palaolto,

Cisco con su tecnología ASA-X ya permite trabajar con usuarios y aplicaciones. Fortinet, hace tiempo que lo permitía y el rival más fuerte en ponerse las pilas es Checkpoint. 

Con independencia del look and feel, las opciones integradas de estas funcionalidades que centran el foco en el usuario y aplicacioón, los otros fabricantes ofrecen otras cosas. 

En el caso de Fortinet, tiene un portfolio dentro de la seguridad perimetral muy extenso y que cubre casi todas las necesidades que se pueden ocurrir. Incluyendo la revisión de código, cache, anti-spam..etc Aunque a nivel de firewall sea sensiblemente inferior que los PAN.

Checkpoint, dispone de facilidades claramente expuestas anteriormente en la gestión de bases grandes instaladas. Por otra parte, el producto de DLP, la parte de antispam o la solución de endpoint, hacen de una solución orientada a gran cuenta con pocos competidores.

Finalmente, Cisco ASA tiene un nicho de negocio muy claro. Donde esta apostando firmemente y que cobra mucho sentido si cierra la compra de Palaolto: VPNSSL

Históricamente Juniper SA ahora MAG, era claramente lider natural. Pero tal y como refleja el último Gartner, Cisco esta muy, muy, pero que muy cerca de Juniper. Además hay que contar con el TAC y la fuerza de ventas de Cisco, que lo hacen un claro depredador de otras empresas con menos cuerpo.

http://www.computing.es/comunicaciones/tendencias/1037001000301/gartner-cuadrante-magico-ssl-vpn.1.html

Conclusión: Con todo esto, Paloalto queda claro que es diferencial en el campo de NGN, que el resto de competidores están cada vez más cerca y además tiene funcionalidades diferenciales fuera del alcance clásico de firewall y que el escenario cambiará mucho en el supuesto que sea comprado finalmente por Cisco.

hth,

Robclav

Todos los caminos, llevan a roma: Cisco ISE

Cisco parece que ha caído en la cuenta que, tener 7 appliance para hacer lo que otros fabricantes como Juniper hacia con uno, no era bienvenido por los clientes.  Cisco Identity Services Engine es de nuevo, una compactación de los appliances de NAC, el ACS y otro posible nuevo appliance de reconomiento de usuarios. Por mucho que otros fabricantes, puedan licenciar por separado, solo a nivel de mantenimientos, ahorro de espacio y energético cualquier otra opción era más económica.

Eso significa que igual que el resto de fabricantes de seguridad,  todos los caminos de cisco llevan a roma. O dicho de otra forma, han centrado sus desarrollo en el usuario. El framework SecureX alberga las líneas claves de las tendencias del mercado, como MDM integrado con ISE. Claro que para terminar de simplificar las cosas, a la integración de ISE con el resto de Borderless networks le llaman arquitectura TrustSec.
Hay que recordar que CISCO hizo lo mismo con la integración de los concentradores VPN 3000 y los Pixes. Y fué un éxito, pese a reducir las capacidades del concentrador VPN, maximizó la parte de VPN SSL. 
Cisco ha reiniciado su programa de inversiones y desarrollo de seguridad. Podemos decir que vuelven a estar "on the road again".
Hth,
RobClav

NGFirewall Evolution: Políticas reputacionales por usuario

Hoy he estado en un evento de uno de esos gigantes de la informática que arrastran tanta historia como portfolio. El asunto es que entre sus filas cuentan con gente muy orientada a la innovación en los sistemas integrados.
Desde el principio los sistemas informáticos pertenecían a las empresas y los trabajadores hacían un uso más o menos personal, para acceder a información corporativa básicamente.  El ocio se realizaba con el teléfono, el salas, en el bar....
Ahora todo esto se desarrolla dentro de nuestros sistemas de información y bajo nuestra responsabilidad, pero además tenemos muchos más sistemas exógenos. Por ejemplo los móviles, las "tablet" o los portátiles personales. Sin contar las legiones de consultores externos conectados en salas adhoc vía wifi o con NAC de lógica "boleana".

De forma que parte de la infraestructura no es de la organización, parte de la información almacenada y transportada tampoco y se presupone la utilización de los recursos de la empresa para ocio y networking empresarial.
Por si faltase algo a esta mezcla explosiva, tenemos que añadir que los usuarios son móviles, tenemos oficinas distribuidas en diferentes países y aplicaciones publicadas en la nube.

Con todo este escenario he proyectado una nueva innovación en IPs a los firewalls, políticas de usuario por reputación:

1. Asignar una cuota en una SAN, en función del contenido y antiguedad de los ficheros de forma automática.
2. Penalizar o proteger el uso de ancho de banda en función de la categorización de las recursos visitados.
3. Aplicar inspecciones, auditorías y capturas de tráfico en función del histórico de un usuario.
4. Restringir el acceso a redes o servidores en función de comportamientos de modificación de usuarios con comportamiento similar en la red. 
5. Aplicar policy based routing hacia líneas de bajo coste para aquellos usuarios con categorización histórica no productiva.
6. Desencriptar el tráfico de aquellos usuarios que tengan incidentes de fuga de información.

Como os podéis imaginar este producto no existe, pero sería increíblemente fácil gestionar una dispositivo con cierta inteligencia para evolucionar la configuración inicial.

hth,

Robclav

Servicios profesionales Carrier Class: SCC

No hay nada como volver de vacaciones en la playa con nuevos proyectos, nuevos compañeros y nueva empresa. Ahora formo parte de Specialist Computer Centres(SCC), una multinacional con presencia en seis paises y siete oficinas en España. Muchos de vosotros os sonará más familiar, si os digo que es el resultado de la compra por parte de SCC, de la división IT de General Electric (España).

Áreas de negocio principales son redes, seguridad, sistemas, virtualización, expert leasing y servicios gestionados.
Todo esto son solo números y palabras frías, al final lo que importa es que cada día desayuno rodeado de ccie's con proyectos internacionales, que parecen el exámen práctico del Bruselas. Evidentemente, los proyectos, los clientes, y las tecnologías involucradas son Carrier Class. Así que estoy poniendome para coger ritmo ASAP.

Las oficinas en Barcelona están en Sant Cugat donde también se ubica el centro de Servicios Gestionados y vigilancia tecnológica. 
Eso sí, tengo ganas de ver en vivo y en directo un despliegue de la gente de Profesional Services para un proyecto. He visto la preparación previa, logística, coordinación y el foco en el éxito que esperaba en SCC.
"Si tiene algún problema  en su redno dude en contactar con…EL EQUIPO SCC"
RobClav

El hombre y el ratón: Migrando a IPv6

Tiempo estamos teniendo de migrar las redes a IPv6. Luego cuando lleguen las prisas y los presupuestos extraordinarios, algunos gestores comentarán que no entienden como una cosa tan importante no se tuvo previsión.

Y sí, Europa y su crisis ,es una parte pequeña de Internet y de la economía global pero los otros países siguen imparables su expansión, donde la materia prima es la IP. No obstante, estos países emergentes y organizaciones tienen una ventaja respecto a nosotros. Contruyen una nueva infraestructura en lugar de "hacer reformas" en sus viejos palacios. Y esto último siempre supone mayor riesgo y coste.
Pero no todo son malas noticias, porque ya contamos con un par de fabricantes como Infoblox y Men&Mice que se dedican a la gestión de direccionamiento que están preparados para IPV6.
Del primer fabricante, ya he hablado en anteriores posts, ya que está construído sobre estándares los diferentes módulos que conforman su solución(DHCP, NTP, DNS e IPAM), y tienen una presencia importante en Iberia.

Los segundos, son otros locos helados de Islandia que me imagino que durante su pequeño invierno de 11 meses, han tenido tiempo de desarrollar y perfeccionar soluciones "ad hoc" para migrar a IPv6.
Con su herramienta IPAM permiten automatizar las fases de discovery de los activos de la red, así como realizar un inventariado de sus caracteristicas, y personalizar campos de los objetos así como lanzar scritps externos.
El resultado es el que véis en la captura, una base de datos de los rangos de IPv4 e IPv6 gestionados por la organización, donde se pude realizar una ordenación por estado de compatibilidad respecto a IPv6. A partir de esta información se pueden lanzar scripts que realicen tareas auxiliares, aparte de las herramientas integradas en la suite de comprobación de connectividad ICMP.
Para mí esta herramienta ha sido un descubrimiento, pero no la he podido probar a diferencia de Infoblox y su servicio técnico que es excelente.

hth,
RobClav

Reivindicación 2.0: Applets Java en Juniper SA/MAG

Hola,
para lograr funcionalidades que hacen otros fabricantes podemos encapsular applets java en los Juniper SA y ahora en los MAG. 
Estos Applets pueden ser lanzados automáticamente o esperar que el usuario pulse sobre un icono que dejamos en la web de acceso. Esto puede ser interesante para utilizar aplicaciones cliente servidor propias, o aplicaciones propietarias que realicen cambios más profundos en el usuario. Es la forma de evitar llamar a un script en la estación remota, que no sabes si encontrarás. Lo bueno es que esta opción funciona con Webificación, WSAM, JSAM y network connect. En mi caso, he creado este applet para emular el comportamiento de un viejo Nortel VPN SSL que utilizaba PORT Forwading. El usuario, después elegía la aplicación que iba a ser tunelizada. Así que para emular este comportamiento, combinamos el JSAM(No pide derechos de administrador como si hace WSAM o NetworkConnect) y el applet como recurso WEB. El applet ejecuta una aplicación en el cliente.
El código JAVA que lo tenéis que dejar como .jar y a disfrutar.
Os dejo un video de the class después de haber visto a la gente de http://www.iaioflautas.org

Robclav
#Codigo#

import java.applet.*;
import java.awt.*;
import java.io.IOException;
import javax.swing.JOptionPane;
//rclavero Juny 2012
public class APPLauncher extends Applet {
//Applet per obrir programes al costat del client
public void init () {
//Es com si fos el constructor de la Clase
}
public void start(){
//Es com si fos el main
Runtime aplication = Runtime.getRuntime();
try{
aplication.exec("mstsc.exe -v:127.0.10.52");
//Iniciar una aplicació amb parametres


} catch (IOException e) {
// TODO Auto-generated catch block
JOptionPane.showMessageDialog(this,"No se ha podido iniciar la aplicación en el sistema cliente...");
}
}
public void stop(){
}
public void destroy(){
//alliberar recursos del sistema
}
}

Boligrafo Fisher vs Lapiz Ruso: Swivel security

Todo el mundo ha escuchado el mito(Falso)  de la lucha por la carrera espacial entre EEUU y Rusia. El mito consiste en que EEUU desarrollo un bolígrafo capaz de escribir en ausencia de gravedad con una inversión de varios millones de dólares, mientras los rusos simplemente utilizaban un lápiz. Tengo que aclarar que es falso, porqué la NASA no hizó el desarrollo sinó una empresa americana. Además el CCCP utilizó lápices pero también bolígrafos convecionales, ya que el problema no era de gravedad sinó de presión atmosférica.

En este sentido, la gente de Swivelwww.swivelsecure.com  tiene un producto de autenticación robusta multifactor(PinSafe) que sería el lápiz ruso versus a los tokens físicos de RSA y VASCO.
La solución es simple, memoriza una pin que realmente son posiciones. Recibes un string nuevo y solo seleccionas del string las posiciones de tu pin.  YA TIENES TU OTP. Este String lo recibes por sms, por email, lo generas con una app...etc
Esto es solo una opción, puedes utilizar otros métodos como memorizar una forma. Sí, como se desbloquean los móviles con Android. Imagina una "V" o una "N", y ahora sobre una imagen ya tienes tu OTP!
Claro, solo en coste de despliege, mantenimiento y comodidad para el usuario la mejora es enorme.
hth,
robclav

Anonymous: Proximo objetivo Banca

Anonymous ha colgado sus nuevos objetivos en la nueva "isla pirata", Pastebin

http://pastebin.com/PqtNxeY3

Esto es un copy-paste desde la web donde a día de hoy se planean la mayoría de acciones de cyberTerrorismo, hacktivismo y todo tipo de robo de información bajo pago.

"http://www.sgae.es

 http://www.maec.es

http://www.mjusticia.gob.es

http://www.defensa.gob.es

http://www.mpt.gob.es

http://www.mir.es

http://www.fomento.gob.es

http://www.educacion.gob.es

http://www.mtin.es

http://www.minetur.gob.es

http://www.marm.es

http://www.meh.es

http://www.msps.es 

http://www.casareal.es

 https://www.bancosantander.es

https://www.bbva.es

http://www.bankia.com

http://www.lacaixa.es

http://www.bancopopular.es

https://www.bancsabadell.com

http://www.catalunyacaixa.com

http://www.novagaliciabanco.es

http://www.caixanova.es

http://www.bancacivica.es

https://www.cam.es

https://www.bankinter.com

http://www.espiga.com

http://www.ibercaja.es

https://www.unicaja.es

https://portal.bbk.es

http://www.bancamarch.es

hth,
Robclav

Diez conceptos básicos para configurar JUNIPER SA o MAG SSL VPN

Formalmente hablamos de Juniper Secure Access y Junos Pulse Server.

Sin duda el producto más flexible, potente y maduro del mercado. Es el rey de las VPN SSL, siendo un appliance dedicado donde hay que tener en cuenta el precio de la licencia y mantenimiento y no del hardware.
Bueno sin más rollo, os dejo el resumen de los diez términos clave para configurar y entender estas maravillas:


-Recursos.  Los recursos son aquellas aplicaciones, ficheros o sistemas a los cuales se va a dar permiso de acceso.  La definición de estos recursos deben ir acompañados de una política de seguridad de acceso a ellos. Y posteriormente para ser utilizado se debe asociar a un rol como mínimo.

-Role. Es una agrupación lógica de  acceso a recursos a los que se van a dar acceso así como de los mecanismos para hacerlo. S
Resource-Policy(Utilizar mejor la autopolicy). Es las reglas de seguridad que se aplican a los roles para poder acceder a los recuros. Las mismas pueden ser modificadas en tiempo real por comprobaciones del host-checker.
-Role-Mapping. Es una serie de reglas consecutivas, de más específico a más genérico, que asignan finalmente unos roles. Estas reglas se pueden hacer por:
-Nombre de usuario
-Nombre de grupo del directorio activo
-Nombre de atributos de LDAP/certificados de usuario.
-Dia y/o hora de conexión.
-Ubicación.
El resultado es la asignación de los roles a los Realms o perfiles de conexión.Comprueba todos los roles, siempre y cuando no se especifique lo contrario.

-REALM. Conjunto de usurios o escenario de autenticación, que es lo que más se parece a un perfil de conexión que engloba desde sign-in page, a la forma de autenticación, los roles, los recursos, las reglas de host-checker o la personalización de la web.
Dentro se configura:
-Las Authentication Policies.
-Host checker
-Evaluar las condiciones.
-Requerirlo y aplicarlo.

-Sing-in Pages (Puntos de entrada). Agrupados en Sing-in Policies de los cuales por defecto existen dos:
-Path de administración "http://x.x.x.x/admin"
-Path de entrada de los usuarios "http://x.x.x.x"
Pero pueden ser tan variados como queramos, permitiendo una asociación de realm por puntos de entradas. Eso implica separación por idioma, recursos publicados, países, o servidor de validación.
Un usuario solo puede entrar a un solo REALM.
-Tipos de tunelización disponibles.
-Client-less(Webification). Portal Web donde se publican las aplicaciones disponibles para ese realm. Acceso vía navegador.
-Network Connect. Modo tunel SSL emulando un cliente IPSEC clásico.
-JSAM-.Port forwarding por puerto. Queremos solo las conexiones a Citrix, de forma que localmente se escucha al localhost:3389, se encapsula y se envía. Javascript multiplataforma.
-WSAM. Port forwarding muy fléxible. Se puede interceptar puertos pero sobretodo útil a nivel de aplicación. Por ejemplo, se puede monitorizar el proceso iexplorer.exe, y todos los puertos que abra, se encapsulan y se envía. Es un active-X, limitado a Windows.
-Aplicaciones cliente-servidor integradas. Se puede inyectar texto en la aplicación cliente para emular un single-Sign-ON. Muy potente.
-End-point-Security(Host checker). Javascript para la pre/post-comprobaciones del cliente. Puedes comprobar el idioma del cliente, el navegador, si tiene un fichero abierto, los parches del sistema actualizados. Se suele utilizar para seleccionar el REALM adecuado para el usuario.

El log, con un simple click, vas haciendo queries. Muy práctico y potente.

Hacker de película

Un compañero me habló de esta web, pero la verdad es que la idea es muy divertida.  Emular el comportamiento de un hacker de película. Por supuesto con final feliz.

http://hackertyper.net
Prueba la web, hay varios trucos, como por ejemplo: Intento de hacking detectado!!!!
Robclav

Master Class protección web con Palaolto Networks

Miércoles 09:30 CEST Gran Hotel Central.Via Laietana 30,Barcelona. Evento Exclusive Networks-PAN España.

Empezó la sesión de Master Class con regusto (legal) +++The Mentor+++ Manifiesto Hacker 1986 por parte de Jesús Díez System Engineer de Paloalto Networks.

Para los que no conozcáis a Jesús, como me pasaba a mí hasta el miércoles, es uno de esos ingenieros con un discurso sencillo, apasionado, mordaz y experimentado en auditorías de seguridad. Por asimilarlo, seria una versión formal de Chema Alonso.

Vaya uno de esos pocos conferenciantes que puede convertir un evento en una experiencia: discusiones de hacking sobre Cross-site scripting, SQL injection, parameter tampering, ejecución de comandos de SO y acceso completo a la Shell. Todo esto con una web de e-commerce de ejemplo a modo de punching ball, siguiendo la estela de WebGoat de la comunidad OWASP

Evidentemente el ejercicio consistió en destrozar todas las protecciones del portal y demostrarlo con escalado de privilegios, acceso a información sensible o cosas simples del tipo enviarte productos de forma gratuita.

Algunas de las claves de la sesiones fueron:

• Explicación de fases clásicas de ataque.
• Utilización de Herramienta proxy Paros.-MiM web con spider y crowler de pasivo y activo.
• Explotación de información del fichero /robots.txt que se crea para los spiders oficiales tipo google.
• Deconstrucción de la programación de las web. Vector de ataque fijado en las comprovaciones realizadas en el lado del usuario. Ej, bypass de la comprovación de las tarjetas bancarias mediant algoritmo LUHN.Luhn_algorithm
• Identificación de codificación Grupo64 que oculta datos sensibles y acceleración del desencriptado de MD5 sin usar Johntheripper, sino mediante BBDD online.
• Explotación automátizada de ataques de inyección de código SQL usando Sqlix

Finalización de la sesión con la creación de CONTRAMEDIDAS en el PALOALTO.


A destacar, la diferenciación entre los motores de aprendizaje dinámico del comportamiento esperado de las webs,  de los mejores WAF y la diferencia con PAN.  Por otra parte, creo que la exposición del final, fue clave para entender la orientación de algunas herramientas integradas en los PAN como puede ser la desencriptación del tráfico SSL.  Un ejemplo seria, descargar del trabajo de cifrado SSL a los servidores internos de la dmz, y poder tratar al tráfico en claro. Por otra parte, la utilización de los filtros por tipo de fichero y firmas de DLP hicieron prácticamente el resto.

Valoración del evento: IMPRESCINDIBLE y DIVERTIDO

hth,

Robclav

El giro de Cisco, descubriendo tecnología emergente (II)

(Viene del post anterior)

Otras tecnologías/productos/servicios de CISCO que se han convertido en el origen de coordenadas para los futuros desarrollos y esfuerzos comerciales son las siguientes:

Cisco CIUS, Integración mediante desarrollo de aplicaciones con Android, Apple IOS (no había más nombres para un sistema operativo).

Unified Fabric como respuesta a todos los entornos virtualizados, con o sin red de almacenamiento(SAN). La familia Nexus, está creciendo por la parte alta permitiendo integrar diferentes tipos de conectores para las SAN, así como nuevos protocolos que permitan una "movilidad" de las máquinas virtuales entre chasis, localizaciones o redes de almacenamiento.

Cisco Identity Services como núcleo vertebrador de TrustSEC, dentro de la arquitectura segura llamada SecureX(busca el post al respecto) de CISCO. En resumen, un NAC que además identifica aplicaciones, usuarios, plataforma del tráfico en curso. También conocido como Plan B, cuando no puedes comprar un producto maduro NGN que dote de visibilidad a tu red y tu has descontinuado el desarrollo de los ASA.

Virtual Security Gateway (Firewall virtual) como extension de los Virtual Nexus 1000. Que se traduce en un firewall integrado en el sistema virtualizador. Los detalles de si trabaja a nivel de hypervisor, como se integra con el nexus 1000V y flujos en el siguiente blog en catellano.  cisco-virtual-networking-novedades-cisco-vsg. También en Cisco, pero menos claro.

Por cierto, esto es competencia frontal con el producto adquirido por Juniper, Altor networks vGW por Virtual Gateway, que sí que se integra a nivel de hypervisor.

Hth,

RobClav

El giro de Cisco, descubriendo tecnología emergente (I)

Cisco ha centrado sus esfuerzos de I+D+i en tres áreas principales: movilidad, convergencia IP y datacenters en la nube. Eso deja al descubierto algunas áreas que son consideradas colapsadas y con un margen en caída libre. Todo esto queda claro revisando las sesiones del Cisco Live (antes Cisco Networkers) y para simplificar sus broachure de sesiones enfocadas a Service Provider, CIO Cisco Live SP Broachure.
Todo esto está muy bien, pero podríamos decir que todos los fabricantes y algunas integradoras anuncian lo mismo, pero en que se traduce en CISCO? Para contestar a esta preguntas os pongo algunos ejemplos del calado de su apuesta, por cierto una lástima que la seguridad no sea foco.

• Nueva oficina, no problem. Router/Firewall/servidor multipropósito/call manager/wifi/dhcp/dns e un solo equipo. (En la imagen falta icono servidores virtuales)

Los ISR Generation 2 (Los routers, alma y estandarte del prestigio de la empresa), pueden albergar una solución VMWARE ESXi mediante un módulo insertado en uno de sus slots, de forma que se integren servidores virtualizados en el router. Imaginate, envías un router con los servidores necesarios para funcionar dentro de él mismo. Un envío+una configuración+un responsable=menos problemas.

• Securización de los escritorios virtualizados, ¿porqué dejarlo en manos de casas de antivirus?

Cisco Finesse agent (sistema operativo de los Pixes, que ahora se llaman ASA) para la securización de virtual desktop, facilitar los servicios de comunicaciones unificadas(voz y video-conferencia) mediante agente.

• Cisco Virtualization eXperience Infraestructure VXI. Arquitectura end-to-end con elementos de otros fabricantes como Citrix, para ofrecer todo el entorno virtualizado. cisco-announces-desktop-ambitions

(Continua en el post II)
RobClav

Usuarios móviles:Zscaler, seguridad escalable

Es un contrasentido que la mayoría de las organizaciones sufrán por los problemas que les acarrea tener un porcentaje creciente de usuarios móviles, y sigan intentando resolver estos problemas mediante soluciones centralizadas."No podemos resolver problemas de la misma manera que los creamos" Albert Einstein. Haz tu seguridad escalable, con ZScaler
Y cuando habla de usuarios móviles me refiero, a aquellos usuarios que trabajan desde fuera de la infraestructura ya sea con smartphones, portátiles o tablets.
Muchas organizaciones disponen de dispositivos, que les ayudan con filtrado de tráfico web, antivirus, DLP, QoS y antispam. Pero la mayoría de ellas, solo pueden realizar esta tarea en el caso que los usuarios pasen el tráfico por su salida perimetral. Para esto, los usuarios que están fuera se instalan VPNS y se sobredimensiona la linea a Internet doblando los requerimientos al necesitar el ancho de banda de entrada sin filtrar y el de salida filtrato a internet. Por otra parte, en el caso que los usuarios sean de oficinas pequeñas se tiene que contar, con los dispositivos, licencias, mantenimiento, obsolescencia tencológica y las horas hombre de administración para cada ubicación. 
Bien, ¿y que propongo?
Protección universal de filtrado de URL,contenido y spam, estés donde estés, te conectes como te conectes. Ahhhhhhhh!!! me estás hablando de una solución en la nube de esas??? Sí, pero olvídate de la etiqueta "en-la-nube", piensa que tu empresa tiene sedes por todo el mundo.

• Departamento técnico bajo tu mando que se encarga de las copias de seguridad con capacidad de 6 meses mínimo(Sin agregación de logs y url C-O-M-P-L-E-T-A) y un máximo de 7 años(Sin comprar un SAN).
• Olvídate de la alimentación/refrigeración/sustitución de los appliance, con una consola central de gestión y monitorización,
• Políticas desplegadas en tiempo real en todo el mundo.
• Cumpliendo normativas de protección de los datos. Los datos no se almacenan en los nodos.
• Integración de los usuarios con tu repositorio de usuarios, sea mediante DA federado, ldaps..etc
• Latencia mínima gracias a la inspección simultánea de todos los motores mediante tencología SCMA(Escaneo múltiple único Paso)
• Si tienes un problema con un upgrade o una categorización errónea, lo tienen todos los clientes. Así que no tienes que pelearte tres horas para escalar un bug que en función de tu grado de cliente para EEUU, seguramente estás al nivel de General Electric o Apple en imporatncia para dedicar un equipo de desarrolladores(o eres the last monkey from P.I.G.S?)
• Olvídate de como se configura el enésimo sistema de seguridad que tienes bajo tu responsabilidad y sus tropecientos "truquitos" para conseguir que el jefe vea porno bloomberg. Llámas a un único teléfono para que "se miren" nosequé del antivirus, o de la cuarentena del spam para la secretaria, del primo del cuñado del CFO.

• Y las categorías de URLs están preparadas para el mundo empresarial. Lo que para el departamento financiero se conoce como análisys de la competencia y por lo tanto, clasificado como Work-Related search. Para el resto de departamentos puede ser la categoría, NO-MIRES-YOUTUBE.
• Las licencias son nóminales pero abiertas en número de dispositivos. Así que su hija de 3 años, podrá seguir mirando Teo se va a la playa, en el ipad de su padre. Y su padre continuar con los balances sementrales top-secret, con control de fugas de información(Integra funciones de DLP)
• El dimensionamiento no es un prioritario, si tienes que crecer, no te preocupes, encima saldrá más económico porque el precio baja cuanto más usuarios contrates.
• Y finalmente, puedes controlar el consumo de ancho de banda por aplicación, por usuario etc.

 Si después de todas estas razones crees que es mejor tener una caja por cada CPD, los conocimientos y el tiempo para cada una, tengo una mala noticia. Además los informes son en tiempo real. Sí, de cualquier momento, cualquier consulta.

Core Security: Comparativa 2012 de Vulnerability Assesment(Hacking)

¿Qué sistemas automátizado de Hacking ético es el mejor del mercado? ¿Es Core Impact un buen producto? Bien, pues contestando a un buen amigo que me pide opinión del producto VA Core Security, sí, es un buen producto. Es más se trata del segundo fabricante de un producto orientado a la auditoría de seguridad automatizada. El segundo (ficticio) es McAfee, pero hay que aclarar que es la suite de assement integrada con el Policy orchestrator. Vaya que lo mismo que te hace el inventariado y te desplega políticas de antivirus, te analiza el estado de los dispositivos. Dicho de otra forma, es una orientación para el departamento informático de un cliente final y no para integradora.

El número uno Qualys, ya lo conocemos en modo appliance y en modo SaaS. En las dos integradoras Gold Parnter de Cisco que trabajaba, se utilizaba. Como todo depende de como lo configures, pero un buen producto.

Por otra parte, Qualys y Core security, comparten una orientación a integradora. Pero leyendo el informe de Gartner y viendo las funcionalidades del segundo parece que está más enfocado a la parte de móviles que no el primero. Diferencia muy importante.  Y segundo parece una empresa con un perfil más agresivo-intrusivo, de forma que sus objetivos en la auditoría son más ambiciosos.

Comparativa VA Gartner

Resumen, Core Impact es un visionario tipo Paloalto en los NGN, y Qualys sería un producto maduro y poco más conservador.

hth,

Robclav