Search Results for: cloud

Evadiendo por la via rápida el challenge de CloudFlare for-fun-and-profit

Para hoy tenemos una entrada de Vicente, un antiguo compañero de S2 Grupo, administrador de sistemas y fanático de la naturaleza. Se le puede encontrar en su twitter @vicendominguez y en su blog.

¡Buenos días amigos! Vuestro sysadmin favorito al teclado hoy. Vamos a la materia.

En el mercado existen multitud de herramientas para pentesting. Todas ellas incorporan sistemas de evasión tanto de IDS, como WAF etc.; nmap incorpora fragmentación, cloak, decoys, spoof, custom data packet; sqlmap lleva check-waf y un montón de tampers, y así casi-todas. Echadle un vistazo porque la lista de aplicaciones que usáis todos los días para vuestros pentest favoritos que incorporan estos extras es considerable. Además tienen cierto éxito con los habituales sistemas de protección/detección. Ya sabéis de lo que hablo. En detección: snort, suricata…; en protección-waf: modsecurity, naxsi… y todos estos requieren algunos esfuerzos “extras” para detectar todas las posibilidades existentes. Bien. Fantástico.

Y luego de todo esto, tenemos CloudFlare.

[Read more…]

Paseando por las nubes: una visión panorámica de la computación cloud

Este lunes y martes, 8 y 9 de julio respectivamente, se celebró en el campus universitario de Albacete un curso de verano dedicado al Cloud Computing, organizado por personal de la propia Universidad de Castilla – La Mancha.

Nos brindaron la oportunidad de participar y aportar nuestra visión sobre los aspectos de seguridad que deberíamos contemplar cuando planteamos hacer uso de servicios en la nube.

Este curso fue moderado por la Drª. Dª. Carmen Carrión y por la Drª. Dª. Blanca Caminero (ambas profesoras titulares del Departamento de Sistemas Informáticos de la Universidad de Castilla – La Mancha). En el mismo se trataba de abordar una visión de la situación, uso, evolución y adopción de las soluciones en la nube en la actualidad, desde distintos puntos de vista. Abarcando desde la perspectiva del cliente a la del proveedor desde aspectos de seguridad hasta aspectos puramente prácticos.

[Read more…]

Real Cloud Security

(Please note this post was originally published in the Spanish version of Security Art Work last 2th Oct 2012)... Leer Más

Requisitos del ENS para proveedores de Cloud Computing

Algunos de ustedes se habrán planteado sin duda la posibilidad de externalizar algún plataforma a un servicio cloud, o hacer uso de alguna herramienta SaaS. Además seguramente la mayoría se habrán cuestionado acerca de las implicaciones de seguridad que puedo conllevar delegar la gestión de la información en un proveedor. Efectivamente, la gestión de la información y de los servicios por un tercero supone la pérdida parcial de control sobre sus sistemas de información y no nos engañemos, el ser humano no es un fan acérrimo de la incertidumbre (que se lo digan a los mercados…), a la vez que esta externalización supone que cierta parte de la gestión de los riesgos y el cumplimiento legal recaiga en el tercero.... Leer Más

El cloud más seguro… y más dulce

(N.d.E. Después de las entradas técnicas de los últimos días, hoy traemos una visión diferente y más «fresca» del cloud)

Desde hace ya tiempo existe un consenso general sobre el hecho de algo está pasando, algo grande y profundo que, todavía hoy, no estamos muy seguros de lo que en realidad es.

Mucho se ha hablado acerca del cloud computing, y no es mi intención aburrir más a la audiencia con el tema. Ya parece que más o menos estamos todos de acuerdo de lo que estamos hablando. ¿O no?

Hace un par de años cayó en mis manos un estudio sesudo de una fundación innovadora acerca de eso que estaba generando tanto entusiasmo y alboroto. Me gustó la explicación que daban acerca del concepto. Se preguntaban entonces que era exactamente el cloud computing: ¿la evolución de internet? ¿Un nuevo modelo de computación? ¿Una forma de ofrecerlo todo como servicio? ¿O quizá suponía la industrialización de las tecnologías de la información, como ocurrió hace un siglo con la electricidad cuando se empezó a usar de forma masiva en la economía y en la sociedad?

El cloud computing, en su opinión, era todo lo mencionado y algo más. Era como la fábula de los ciegos y el elefante. Cada uno toca una parte diferente del elefante. Después comparan lo que han percibido y se dan cuenta de que están en completo desacuerdo.

[Read more…]

Cloud computing, el análisis de riesgos y los “servicios dinámicos” de seguridad

A estas alturas todos estaremos de acuerdo en que nos enfrentamos a cambios singulares en la forma de entender la gestión de las infraestructuras TIC. La irrupción de los servicios de cloud computing, y con ellos la IAAS “Infraestructure as a service”, va a provocar en los próximos años una reestructuración de gran calibre en este tipo de servicios, en buena parte consecuencia del desarrollo masivo de los servicios de virtualización que nos permite cambiar nuestras máquinas virtuales de CPD o datacenter en un abrir y cerrar de ojos, al menos teóricamente.... Leer Más

Seguridad en Cloud computing

He decidido poner el término Cloud computing en el titulo del post para tener mas visitas, ya que es un termino de moda, pero si me disculpan la pequeña «trampa», en su lugar voy a hablar de la seguridad en Infraestructuras compartidas, que es un tema tanto o más interesante en seguridad.... Leer Más

¿Qué pasa con la Seguridad y el Cloud Computing?

Algunos tuvimos la oportunidad de celebrar el pasado día mundial de Internet con una mesa redonda sobre Cloud Computing en la que participaron ocho personalidades de distintas multinacionales, de las que solo una de ellas era española. La mesa redonda estuvo moderada por la Consejera de Justicia y Administraciones Públicas de la Generalitat Valenciana y la verdad es que fue bastante interesante, e incluso yo diría que pertinente y adecuada en los tiempos que corren, tanto por la forma, como por el fondo.... Leer Más

La importancia del bastionado de servidores – Parte 2. Bastionando el servidor

Hoy publicamos el segundo de tres artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Aquí tenéis todos los artículos de la serie [1] [2] [3]

De acuerdo, tenemos la misión de hospedar una aplicación web de comercio online y ofrecerla al mundo en un servidor que tenemos en propiedad. Nuestro objetivo es que sea lo más inexpugnable posible a todos los niveles. Dado que se trata de una aplicación web, es previsible que el principal vector de entrada de ataques sea a través de vulnerabilidades de la propia aplicación. A ver, no nos engañemos, todos los CMS son firmes candidatos a tener vulnerabilidades severas. El esquema de cómo estará organizada la plataforma es el habitual en un servidor virtual:

Por lo tanto, la cuestión es elegir un CMS con estas premisas:

  1. Que se desarrolle activamente y esté respaldado por una comunidad numerosa de desarrolladores o por una gran empresa. Esto nos garantiza que cuando se publique una vulnerabilidad, ésta sea rápidamente corregida.
  2. Que el CMS instalado sea la última versión disponible de una rama que tenga soporte, y que se prevea que siga teniéndolo durante bastante tiempo. No hay que olvidar que, dado que no disponemos de entorno de desarrollo en casa, las actualizaciones o migraciones implican pérdida de servicio que a su vez implica potencial pérdida de dinero.
  3. Que sea compatible con el sistema operativo del servidor que disponemos. Una consideración que es obvia pero importante.
  4. Que el historial de vulnerabilidades críticas sea lo más bajo posible. Un CMS que se desarrolla activamente y tiene buen soporte pero que de media se descubre una vulnerabilidad crítica cada semana no es viable de mantener ni seguro de utilizar.

[Read more…]

Simple & crazy covert channels (II): MATLAB

Desde que empecé a estudiar en la universidad le tengo bastante manía a una herramienta que para muchos es excepcional y vital en sus trabajos. Esa herramienta es MATLAB.

Como a la mayoría de cosas a las que tengo manía, siempre intento utilizarlas para hacer el mal, por ello durante el siguiente artículo vamos a ver unos sencillos trucos para la utilización de esta herramienta para llevar a cabo la ejecución, persistencia, comunicación y exfiltración de información en nuestras auditorias de seguridad.

Durante el artículo, vamos a dar por hecho que la herramienta se encuentra instalada en el equipo de la víctima (cosa no poco probable en caso de que el objeto de nuestra auditoria tenga como objeto el ámbito ingenieril o científico). [Read more…]