Hoy me gustaría compartir con vosotros una aplicación que he descubierto al revisar las ponencias de la próxima RootedCON.

La herramienta en cuestión es XSSer, un Framework que detecta, explota e informa de vulnerabilidades XSS en aplicaciones Web. Supongo que las vulnerabilidades XSS no son desconocidas para nuestros lectores, aunque si tienen alguna duda pueden visitar esta entrada para refrescar conceptos.

Como comenta el propio autor en la web del proyecto, contiene diversas opciones para evadir ciertos filtros y diferentes técnicas de inyección de código.

Para empezar a usar la herramienta, basta con descargar la última versión del repositorio:

$ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser

Una vez realizado esto, podemos ejecutarlo de dos formas distintas, desde consola o mediante su interfaz:

La entrada de hoy corre a cargo de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones y al que nos gustaría ver más a menudo por estos lares.

Aunque la entrada de hoy no es totalmente original como suele ser habitual, ya que fue publicada en su mayor parte ayer en su blog personal “Apuntes de seguridad de la información”, hemos creído interesante traerla también a nuestros lectores ya que guarda relación con dos de los aspectos en los que S2 Grupo está especializada: la Seguridad de la información y la Gestión de procesos (o eventos, en este caso) en tiempo real.

Vamos pues con ella y esperemos que les guste.

Todas las organizaciones, grandes o pequeñas, disponen de sistemas de recogida de eventos que guardan en ficheros de log datos sobre lo que está sucediendo en el funcionamiento de los sistemas de información. Esta materia prima permite establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. El ejemplo en el mundo físico es como quien coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control y luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma.

Una de las tareas comunes que deben aplicarse a un servidor que va a pasar a producción es fortalecer la seguridad que lleva por defecto el sistema. A esto se le llama bastionar o securizar. Como son muchos aspectos los que hay que tener en cuenta para llevar a cabo esta labor, he querido hacer un recopilatorio de las principales tareas de bastionado en Linux.

Los siguientes puntos se van a centrar únicamente en la seguridad de la máquina, sin extenderse en los elementos externos que se pueden utilizar para securizar el equipo, como NIDS, IPS, firewalls, auditorías periódicas o cañones de fotones.

• Software siempre actualizado. Imprescindible mantener el sistema siempre a la última en parches de seguridad. No hacerlo es el método más sencillo para que te vulneren o tumben el equipo. La mayoría de malware actual se basa en vulnerabilidades conocidas de un servicio o aplicación para infectar la máquina.
• Configuración deficiente de las aplicaciones. De nada serviría un servidor altamente bastionado si uno de los servicios disponibles tiene una configuración que permita a un atacante vulnerar su seguridad. Como es imposible abarcar todo lo que esta implicación supondría, enumeraré algunas indicaciones generales, aplicables a la mayoría de aplicaciones:
(Leer el resto de la entrada…)

Para hoy tenemos una nueva encuesta, que pueden contestar en esta entrada y en la columna de su derecha. La encuesta dice así:

¿Qué opinas de los congresos, jornadas, seminarios... de seguridad que actualmente hay en el panorama nacional?

• Son apasionantes y muy en línea con la demanda del mercado y las inquietudes tecnológicas del sector.
• Algunos están bien, pero fastidia que solo hablen los patrocinadores... y para contar su libro.
• Sólo se aprovechan comercialmente, en la hora del café (que ahora se llama coffee break).
• Son tan útiles como un teclado sin intro.

View Results

 Loading ...

Respecto a la encuesta anterior, los resultados se dividen entre los optimistas, que consideran que podremos mantener la privacidad en el futuro siempre que queramos renunciar a ciertos servicios, y los pesimistas, que piensan que hagamos lo que hagamos, es una batalla perdida. Como tercera alternativa, la idea de que la pérdida de la privacidad es algo positivo que es inherente al progreso que incorporan las nuevas tecnologías no parece tener demasiados seguidores, ya sea porque nadie considera en realidad que tal pérdida pueda ser considerado un avance, o porque las otras opciones estaban más definidas.

¿Está nuestra privacidad condenada a desaparecer?

• No, siempre que se esté dispuesto a renunciar a ciertos servicios. (53%, 57 Votos)
• Sí, nos forzarán a ello queramos o no. (42%, 45 Votos)
• Sí, pero es algo beneficioso que se llama progreso. (5%, 5 Votos)

Votantes: 107

 Loading ...

¡Esperamos sus respuestas!

Seguimos hablando de nuestro anonimato en Internet y de las diferentes formas existentes de identificación de usuarios que existen. En este caso, llegamos a este paper donde se explica como se puede llegar a obtener una “huella digital” de los usuarios que visitan una página web. El investigador Peter Eckersley se dio cuenta de que los
navegadores proporcionan mucha información sobre su configuración a la hora de visitar una página web, y que esta información puede utilizarse para identificar al navegador de forma única, y si entendemos que este navegador solo lo utiliza una persona o un conjunto de ellas, podríamos identificar a dicho usuario, o en el peor de los casos a la máquina utilizada.

En uno de los últimos portales web que he tenido que desarrollar una de las principales premisas era que tenía que ser muy seguro. El nuevo portal tenía que suplir a una versión hecha en html puro, sin código en el servidor. ¿Para qué cambiar si la versión anterior ya era segura? Tampoco entraré en más detalles pero, ¿os acordáis de esas “bonitas” webs con montones de gifs animados y colores espartanos? Esas páginas eran bonitas al lado de esta. Al grano. Para el desarrollo del nuevo portal se estuvieron haciendo pruebas con varios CMS (Gestores de contenidos) en PHP. ¿Por qué en PHP? Pues porque los recursos del servidor eran limitados, y porque me gusta. Al final nos decantamos por Drupal, ya que ofrecía a priori una robustez y seguridad que otros no. ¡Ah!, y porque me gusta.

Una vez tenía el portal ya bastante terminado, me puse a indagar como podía añadirle más seguridad. Al final, en todos los gestores terminas instalando una infinidad de “plugins” (módulos) hechos por terceros que, aunque sea una comunidad muy rápida en resolver los problemas de seguridad, siempre existe cierto riesgo. Fue entonces cuando di con un módulo de Drupal llamado PHPIDS. El módulo actúa de “envoltorio” del programa PHPIDS.

Recientemente he tenido la ocasión de leer un artículo titulado “Risky business” (Leah Hoffmann, Communications of the Association for Computing Machinery). Ya os adelanto que poco o nada tiene que ver con la película con la que comparte nombre y que protagoniza Tom Cruise. Este artículo ha sido publicado en la revista CACM (Communications of the Association for Computing Machinery) y como ya hemos hablado de esta revista en un post anterior, aprovecho para indicar que CACM es una publicación mensual con alrededor de 80.000 suscriptores donde podemos encontrar muchos artículos relacionados con la computación y los sistemas de información.

El artículo en cuestión, Risky Business, trata distintas cuestiones relacionadas con los ataques informáticos. Se citan, a modo de ejemplo, algunos de los ataques más sonados del último año:

Estimados lectores, el post de hoy parte del artículo “Privacy and Security, Security Risks in Next-Generation Emergency Services” escrito por Hannes Tschofenig [ver enlace $] y publicado en Communications of the ACM el pasado noviembre. En éste trataremos de plantear estudiar las implicaciones que conlleva la evolución del servicio 911 de un entorno “analógico” a un entorno “digital” 2.0.

La arquitectura a alto nivel de esta versión 2.0 del servicio 911 fue aprobada en Junio por la National Emergency Number Association (NENA), el nombre elegido es arquitectura “i3” y en ella básicamente se detallada cómo interactúan las redes y servicios para dar soporte a los ciudadanos. Dicha evolución conlleva una serie de riesgos propios de las nuevas tecnologías a soportar tales como los inherentes a la infraestructura del VoIP, o el uso de redes sociales.

Siguiendo con la entrada que publicamos ayer sobre empresas que se dedican a recopilar digitalmente información de los usuarios, no podemos olvidar a otrasempresas más del “mundo analógico” que ejercen este tipo de actividades. Muchas veces estamos preocupados, y con razón, por nuestra privacidad en las redes sociales y en la vida real. Sin embargo, descuidamos otros aspectos que también pueden ser dañinos para nosotros o por lo menos bastante molestos. Esto es lo que a mí, que soy bastante cuidadosa con todo el que llama a mi puerta y con las fotos y comentarios que publico, me ha pasado.

Llevo un tiempo pensando en cambiar el seguro de mi coche a otra compañía más barata, así que se me ocurrió la feliz idea de solicitar información a un conocido comparador de seguros, llamémosle COMPARATUS.COM. Tras rellenar un formulario con ciertos datos personales obligatorios, ayer recibí el siguiente email:

Como se ha hablado en artículos anteriores (véase la serie sobre sistemas de monitorización social), hemos visto que existen diferentes sistemas de monitorización utilizados por los gobiernos para poder “garantizar la seguridad del estado”. Pero, ¿existen algunos sistemas más accesibles a la población de a pie?

Seguramente algunos de ustedes ya habrán oído hablar de RapLeaf, pero para aquellos que aún no sepan de su existencia, podemos decir a grandes rasgos que es una compañía cuyos beneficios provienen de la utilización de nuestros datos en Internet. RapLeaf construye bases de datos sobre individuos con toda aquella información de los usuarios que existe en Internet, como pueden ser redes sociales, historiales de compra o interacciones entre las diferentes webs.