LATEST ARTICLES

diciembre 19th 2017

Libro sobre Auditoria Informática y Seguridad para no profesionales del sector

Número de lecturas: 2114
{lang: 'es-419'}

Interesante libro de Seguridad Informática donde se le da otro enfoque y aclara varios conceptos.

Aca el indice del mismo:

Contenido

Capítulo 1 ………………………………………………………………………………………………… 4
¿Por qué y Para qué debo certificar mi empresa? …………………………………….. 4
Capítulo 2 ………………………………………………………………………………………………… 8
Por dónde empezar y como ……………………………………………………………………. 8
Capítulo 3 ………………………………………………………………………………………………. 19
Identificando activos y su clasificación. ISO 55001 …………………………………. 19
Capítulo 4 ………………………………………………………………………………………………. 32
La Gestión del Riesgo y la Continuidad del Negocio. ISO 22301 …………….. 32
Características del análisis de impacto ……………………………………………………………………. 41
Consideraciones durante el desarrollo del BIA …………………………………………………………. 42
Ventajas de la realización de un análisis de impacto …………………………………………………. 42
Capitulo 5 Auditorias: ………………………………………………………………………………. 52
No es tan fiero el Lobo como lo pintan. ………………………………………………….. 52
Vulnerabilidades y Ataques Informáticos ……………………………………………………………. 56
Auditoria de Redes Lógicas ……………………………………………………………………………………. 59
Auditoria Red Física ………………………………………………………………………………………………. 61
Auditorias de Sistemas Operativos Servidor / Cliente. ………………………………………………. 69
Capítulo 6 ………………………………………………………………………………………………. 72
Las Bases de Datos y su Auditoria: Motor SGDBR y Desarrollo. …………….. 72
Donde descansa la mayoría de la información de nuestra empresa. …………………………… 72
Auditoria de Base de Datos y Desarrollo ………………………………………………………………….. 72
Capítulo 7 ………………………………………………………………………………………………. 94
Las conclusiones y la traducción a un término universal: el Coste. …………… 94
Capítulo 8 …………………………………………………………………………………………….. 104
La Nomenclatura y Estructura de las Normas ……………………………………….. 104
Normas ISO – ISO / IEC – ISO – UNE. ……………………………………………………………………… 104
Capítulo 9 …………………………………………………………………………………………….. 106
Políticas Organización y Seguridad de la Información. ………………………….. 106
Dominio 5 & 6…………………………………………………………………………………………………….. 106
Capítulo 10 …………………………………………………………………………………………… 107
Recursos Humanos. …………………………………………………………………………… 107
Dominio 7 ………………………………………………………………………………………………………….. 107
Capítulo 11 …………………………………………………………………………………………… 108
Manual de Auditoria para no Auditores
Gestión de Activos. ISO 55001 ……………………………………………………………. 108
Dominio 8 ………………………………………………………………………………………………………….. 108
Capítulo12 ……………………………………………………………………………………………. 109
Control de Accesos Físicos y Lógicos ………………………………………………….. 109
Dominio 9 ………………………………………………………………………………………………………….. 109
Capítulo 13 y 14 ……………………………………………………………………………………. 110
Cifrado y Seguridad Física y Ambiental. ………………………………………………. 110
Dominios 10 -11 – ISO 14001 ………………………………………………………………………………… 110
Capítulo 15 …………………………………………………………………………………………… 112
Seguridad Operativa. ISO 20000 …………………………………………………………. 112
Dominio 12 ………………………………………………………………………………………………………… 112
Capítulo 16 …………………………………………………………………………………………… 118
Seguridad en las Telecomunicaciones. ISO 27010 …………………………………… 118
Dominio 13 ………………………………………………………………………………………………………… 118
Capítulo 17 …………………………………………………………………………………………… 122
Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. …. 122
Dominio 14 ………………………………………………………………………………………………………… 122
Capítulo 18 …………………………………………………………………………………………… 127
Relaciones con suministradores. ISO 20000 ……………………………………….. 127
Dominio 15 ………………………………………………………………………………………………………… 127
Capítulo 19 …………………………………………………………………………………………… 129
Gestión de Incidentes de Seguridad. ISO 20000 ………………………………….. 129
Dominio 16 ………………………………………………………………………………………………………… 129
Capítulo 20 …………………………………………………………………………………………… 131
Continuidad del Negocio ISO 22301 / 22320. …………………………………………… 131
Dominio 17 ………………………………………………………………………………………………………… 131
Capítulo 20 …………………………………………………………………………………………… 138
Cumplimiento Legal. ISO 19600 ………………………………………………………….. 138
Dominio 18 ………………………………………………………………………………………………………… 138
Capítulo 21 …………………………………………………………………………………………… 142
ISO 27007 …………………………………………………………………………………………. 142
¿Cómo se auditan los controles por parte del Auditor?……………………………… 142
Capítulo 22 …………………………………………………………………………………………… 173
La Ingeniería Social, la zona muerta del Derecho actual. ………………………….. 173
Capítulo 23. ………………………………………………………………………………………….. 196
Manual de Auditoria para no Auditores
Las metodologías OWASP / OSSTMM soporte para la verificación de la
normativa. …………………………………………………………………………………………….. 196
Capítulo 24 …………………………………………………………………………………………… 217
OSSTM versión 3 : 2010 ………………………………………………………………………… 217
Mapa de la Seguridad según OSSMT ……………………………………………………… 220
Capítulo 25. ………………………………………………………………………………………….. 403
Manos a la obra, la parte práctica. ……………………………………………………….. 403
Capítulo 26. ………………………………………………………………………………………….. 419
Como realizar una investigación técnica de calidad. ……………………………… 419

Lo pueden descargar AQUI

 

 

diciembre 19th 2017

VichUploaderBundle – no se puede reemplazar ni actualizar el archivo cargado

Número de lecturas: 1230
{lang: 'es-419'}

Generalmente cuando utilizo symfony para cargar imagenes lo hacia con las opciones del framework y en otros proyectos que utilizo VichUploaderBundle solo cargaba el archivo y lo solucionaba, sin embargo en este proyecto en especifico tengo la necesidad de editar el archivo que ya subi, lo cual no se hace con la configuración “normal” del Bundle.

Pero con unos pequeños en el archivo config.yml cambios todo funciona perfectamente.

La clave esta en agregar estas líneas:

//config.yml
delete_on_remove: true
delete_on_update: true

Un ejemplo completo sería asi:

vich_uploader:
    db_driver: orm
 
    mappings:
        user_images:
            delete_on_remove: true
            delete_on_update: true
            inject_on_load: true
            uri_prefix:         '%app.path.user_images%'
            upload_destination: '%kernel.root_dir%/../web/uploads/images/users'

Si se necesita más lugares donde cargar archivos se agregan mappings con la misma lógica

Fuente:

http://mossco.co.uk/
https://symfony.com/doc/current/controller/upload_file.html
https://stackoverflow.com/questions/22484000/update-form-vich-uploader-cannot-delete-or-edit-file

diciembre 18th 2017

No pedir confirmación al copiar archivos

Número de lecturas: 852
{lang: 'es-419'}

Para copiar un directorio a otro, y sobrescribir los archivos debemos utilizar el parámetro -f

En función de la distribución que utilicemos es posible que no funcione el parametro -f, esto es debido a que existe definido un alias para el comando cp que sobrescribe el parámetro -f

Para ver los alias del sistema ejecutar el comando alias:

#alias
alias cp='cp -i'

Podemos eliminar el alias si queremos evitar que pregunte siempre con el comando:

#unalias cp

O ejecutar el comando con comillas simples, de esta manera no omite el alias

#cp -Rf origen destino
Fuente:
trucoslinux.es
noviembre 29th 2017

Qué significa realmente ‘hacker’

Número de lecturas: 2365
{lang: 'es-419'}

El arte de ser hacker

Uno de los libros que más me han llamado la atención sobre este tema es sin lugar a dudas Hacking: The Art of Exploitation, de Jon Erickson. Es una joya para todo aquel que quiera sumergirse en este mundo de los verdaderos hackers. Y tal como está en el libro, me permitiré tomar la primer pregunta que explotó mi mente al momento de leerlo.  

La esencia de un hacker

Usando cada uno de los siguientes números 1,3,4 y 6 exactamente una vez con cualquiera de las operaciones básicas (sumar,restar,multiplicar,dividir) conseguir un total de 24. Cada número debe ser usado solo una vez y el orden depende de ustedes. Por ejemplo:

3 * ( 4 + 6 ) + 1 = 31

Correcto en sintaxis, pero incorrecto en resultado.

Debo admitir que yo no pude resolver el problema hasta que terminé de leer el libro y vi la solución en la última página. Pero básicamente esta es la esencia de un hacker, poder ver lo que otros no ven.

Los primeros hackers

Un grupo de estudiantes del MIT (Massachusetts Institute of Technology), cerca de los años 50, recibió un donativo de equipos telefónicos, con estas piezas, ellos desarrollaron un sistema que permitía gestionar la línea de comunicación a distancia por medio de llamadas especiales. Ellos hicieron un descubrimiento usando la tecnología que ya existía, pero usándola de formas que pocos o nadie habían visto hasta entonces. Estos fueron los primeros hackers.

Una comunidad de respaldo

Hoy en día existen muchos exámenes de “certificación” para convertirse en “hacker”, pero la realidad es que uno no llegará a ser un verdadero hacker hasta que un miembro de la comunidad que ya lo sea esté de acuerdo en llamarnos por ese calificativo. Uno de los caminos para esto es poder aportar algo útil a la comunidad. Muchos hackers son en última instancia programadores de bajo nivel, puesto que conocen de manera profunda cómo funcionan los equipos, a nivel de memoria y sistema operativo; bits en última instancia.

Este conocimiento les permite encontrar vulnerabilidades

Esto es como cuando aprendemos por primera vez matemáticas, cuando eramos niños, necesitabamos de alguien que nos explique y enseñe los símbolos y las formas, y esto sucede en cierta manera con los programadores también, un verdadero hacker es aquel que conoce estos símbolos y formas, y nos señala cuando ve que hemos fallado al usarlos (una vulnerabilidad). Y como el mismo Linus Torvalds (otro gran hacker, en el sentido real de la palabra) las “vulnerabilidades” son solamente bugs. Con esto refiriéndose a que no son más que errores de programación, aunque tal vez con otro tipo de consecuencias a los bugs más comunes.

Los hackers NO necesariamente son delincuentes

Esto es cierto hasta cierto punto, vamos a pensarlo por un momento. Cuando un verdadero hacker desea conocer algo, este pone a prueba hasta el más mínimo detalle del sistema, con todos sus conocimientos le es posible esquivar, o evitar controles de acceso, o modificar órdenes para realizar otras tareas, o incluso convertir el programa en otra cosa. Pero ¿de dónde nace esto?

Motivaciones de un hacker

Estas pueden ir en un gran abanico de posibilidades, algunos (la mayoría de los verdaderos hackers) descubren lo que descubren por un mero placer intelectual, disfrutan el desafío de encontrar estos ‘vacíos’. Otros lo hacen por ego, puesto que desean poder decir que son los mejores en algo. Pero es innegable que alguno o muchos de ellos también estarán ahí por el dinero, puesto que controlar cosas que son incontrolables para la mayoría de personas es ciertamente una herramienta que puede producir mucho dinero. Es este el motivo por el que podemos decir que los hackers no necesariamente son malos, pero ojo con el necesariamente.

Otro motivo importante es que los hackers reales desconfían de la tecnología que usamos todos. Esto es así porque en su conocimiento profundo de sistemas, conocen las limitaciones y vacíos o vulnerabilidades. Es este conocimiento en última instancia el que les permite “sobrepasar” sistemas para poder cumplir con alguna de sus otras motivaciones (intelectual,económica,etc).

3 tipos de hacker hoy en día

Hoy por hoy podemos encontrar 3 conocidos grupos de hackers, distinguidos de manera curiosa por el tipo de sombrero que usan: white, black grey hat. En pocas palabras y con una analogía que ya hemos tocado con anterioridad, encontramos que los blancos son los buenos, los negros son los malos y los grises están en un punto medio en el que usan sus habilidades para ser o buenos o malos, dependiendo de la situación. Pero hay un último término, mucho más utilizado en círculos de hackers reales.

Script-kiddie

¿Qué es un script-kiddie? Como su nombre lo dice, es un “niño” a la vista de los verdaderos hackers que solo usa scripts para su beneficio. Y aquí hay que hacer una distinción muy grande,

Estar certificado en seguridad informática NO te hace necesariamente un hacker.

Y este es un punto de vista personal, así como un hacker  puede no tener certificaciones y seguir siendo un gran hacker. Pero vamos a ver por qué digo esto. Muchos exámenes de certificación/cursos/etc te enseñan los pasos de un pentesting exitoso, te enseñan la teoría de tipos de vulnerabilidad, te introducen en el mundo de la seguridad informática como si fueras versado en el tema. Pero la realidad es que hasta que no hagas un aporte sustancial a la comunidad hacker, esto quiere decir, hasta que no crees una herramienta que demuestre ser útil para los hackers, no eres uno. Así de simple y sencillo.

No importa qué tan bien puedas usar nmap, o zen, o incluso metasploit, mientras no seas capaz de aportar un exploit real, o una herramienta de reconocimiento real, NO eres un hacker, solo un script-kiddie, y no importa que tengas N certificaciones en seguridad, eso no lo va a cambiar.

Los hackers hacen de este un mundo mejor

Gracias a ellos es que tenemos tecnología en continuo movimiento. El kernel es un gran ejemplo de esto, son cientos de mentes muy versadas en el tema, que crean código que sirve no solo a la comunidad hacker, sino a todo el mundo. Pero no solo esto, si no fuera por ellos, la tecnología se estancaría en puntos donde la gente no querría seguir desarrollando, esto porque al encontrar vulnerabilidades, los hackers ayudan a motivar a los desarrolladores a escribir mejor código, y a su vez, este mejor código motiva a los hackers a demostrar que son aún mejores, generando un círculo virtuoso en el medio.

Reflexión final

Bueno, ya voy a cortar, así sin más, porque he visto que me estoy extendiendo y aunque me gustaría explicar un poco sobre cómo encontrar un exploit, eso tendrá que ser para otra ocasión. Yo personalmente me considero un ‘script-kiddie’ todavía, puesto que si bien he encontrado una que otra vulnerabilidad por ahí e incluso he podido asignar CVEs a estas, todavía no he creado mi propio exploit o herramienta para poner a disposición de la comunidad, pero espero que eso cambie en poco tiempo ? Sin más que agregar, muchas gracias por su tiempo, saludos.

Fuente:

blog.desdelinux.net