Category Archives: seguridad de la Información

Bash Scripting

Uno de los Lenguajes de programación mas importantes que debemos conocer en el área de la seguridad de la información es bash scriting ya que este nos brinda la posibilidad de automatizar tareas de nuestros sistemas operativos GNU Linux, junto a su configuración de una forma mas amigable y fácil, lo que otros interpretes no lo logran hacer con la misma facilidad que nos brinda bash.

Shell es el Intérprete de lenguaje de comandos, esto en español se traduce como caparazón (revestimiento), y es una capa intermedia entre el usuario y el sistema operativo (principalmente su Kernel).

La función principal del shell es: Leer, interpretar, solicitar la ejecución y mostrar los resultados de uno o varios comandos.

Lo primero que tienes que hacer para crear Shell scripts que puedan ser interpretados por Bash es inicializar tu script por los simbolos:

#!/bin/bash

Este llamara a el interprete bash para que se ejecute invocando el intérprete o directamente si tiene permisos de ejecución.

Si quieres saber mas sobre bash scripting puedes mirar este manual subido por la universidad de córdoba  Manual Bash Scripting o ir directamente a la documentación de Bash scripting

Web scraping recolección en la web

Web scraping es una técnica utilizada mediante programas de software para extraer información de sitios web. Usualmente, estos programas simulan la navegación de un humano en la World Wide Web (red de informática mundial) ya sea utilizando el protocolo HTTP (Hypertext Transfer Protocol) manualmente, o incrustando un navegador en una aplicación.

El web scraping está muy relacionado con la indexación de la web, la cual indexa la información de la web utilizando un robot y es una técnica universal adoptada por la mayoría de los motores de búsqueda. Sin embargo, el web scraping se enfoca más en la transformación de datos sin estructura en la web (como el formato HTML) en datos estructurados que pueden ser almacenados y analizados en una base de datos central, en una hoja de cálculo o en alguna otra fuente de almacenamiento. Alguno de los usos del web scraping son la comparación de precios en tiendas, la motorización de datos relacionados con el clima de cierta región, la detección de cambios en sitios webs y la integración de datos en sitios webs.

También es utilizado para obtener información relevante de un sitio a través de los rich snippets (Fragmentos enriquecidos). En los últimos años el web scraping se ha convertido en una técnica muy utilizada dentro del sector del posicionamiento web gracias a su capacidad de generar grandes cantidades de datos para crear contenidos de calidad.

Un ejemplo de web scraping se realiza a la siguiente pagina web para descargar cómics que tiene la pagina https://xkcd.com/ el cual tiene un patrón en los cómics que nos podemos aprovechar para descargar masivamente las imagenes que contiene la pagina.

import requests
from bs4 import BeautifulSoup
import urllib

def run():
    for i in range(1, 6):
        response =requests.get('https://xkcd.com/{}'.format(i))
        soup = BeautifulSoup(response.content, 'html.parser') #Parseamos el                       contenido de la respuesta 
        image_container = soup.find(id='comic') 
        image_url = image_container.find('img')['src']
        image_name = image_url.split('/')[-1] print('Descargando la imagen {}'.format(image_name)) 
        urllib.urlretrieve('https:{}'.format(image_url), image_name) 

if __name__ == '__main__': 
    run()

este ejemplo lo puedes encontrar en los repositorio de github

https://github.com/giseproi/web_scraping

y lo primero que tienes que hacer es instalar los requerimientos que necesita el script para su funcionamiento adecuado.

pip install -r requirements.txt

Firewall, objetivos de diseño y limitaciones.

Un Firewall forma una barrera a través de la cual debe pasar el tráfico que va en cada dirección, este puede ser diseñado para operar como un filtro al nivel de paquetes IP o puede operar en una capa de protocolo más alta.

Objetivos de diseño para un Firewall:

  • Todo el tráfico desde adentro hacia afuera y viceversa, debe pasar a través del Firewall. Esto se consigue bloqueando físicamente todo el acceso a la red local excepto por el Firewall.
  • Solo tráfico autorizado le será permitido pasar. Varios tipos de firewalls son usados, los cuales implementan varios tipos de políticas de seguridad.
  • El propio firewall es inmune a la penetración. Esto implica el uso de un sistema endurecido con un sistema operativo seguro. Los sistemas informáticos de confianza son adecuados para alojar un Firewall y requerido frecuentemente en aplicaciones gubernamentales.
Stallings W. Network Security Essentials: Application and standards. Fourth edition. Pearson Education, Inc. 2011. Chapter 11

Limitaciones:

  • No puede proteger contra ataques que evitan el firewall.
  • No puede proteger completamente contra amenazas internas.
  • Un firewall interno que separa partes de una red empresarial no puede protegerse contra las comunicaciones inalámbricas entre sistemas locales en diferentes lados del firewall interno.
  • Un dispositivo de almacenamiento portátil puede ser utilizado e infectado fuera de la red corporativa, y luego se adjunta y se utiliza internamente.

Network Mapping

NOTA: ESTE TUTORIAL ESTA HECHO CON FINES EDUCATIVOS Y DE ENSEÑANZA. EL USO NO ADECUADO DEL MATERIAL ES BAJO SU RESPONSABILIDAD.

Universidad Distrital Francisco José de Caldas  GISEPROI Grupo de Investigación en Sistemas Empresariales y Protección de la Información.

Se realiza una prueba de mapeo de red (Network mapping), el cual es un ataque a un sistema informático con la intención de encontrar las vulnerabilidades de seguridad, en diferentes puertos que tiene la red del Grupo GNU/LINUX de la Universidad Distrital, con el permiso del anterior semillero de investigación. Se utiliza nmap para generar el reporte de cuantas computadores estaban conectadas en la red del GLUD. Se generó un mapa de red, dando un reporte de cada computador gracias a la herramienta OpenVAS a (Open Vulnerability Assessment System), la cual tiene como funcionalidad identificar los tipos de vulnerabilidades que tiene cada computadora del Laboratorio de Tecnologías.

Introducción.

Como respuesta a la necesidad de detectar y prevenir intrusos surgen las herramientas OSSIM (Open Source Security Information Managment), clasificadas en dos grupos:

  1. Pasivas: analizan sin generar trafico dentro de la red
    1. ejemplos: Snort, Ntop, NFdump, NFSnet, Kisnet
  2. Activas: generar trafico dentro de la red en la que se encuentran
    1. ejemplos: OpenVAS, nmap, Nagios, OSSEC, OCS

Cada una de estas herramientas sirve para un propósito especifico de seguridad, se definió previamente utilizar en este laboratorio como primera instancia dos herramientas OSSIM activas, llamadas nmap Y OpenVAS, las cuales detectan el tipo de vulnerabilidades presentes en una red y pueden generar un mapa de red. Adicionalmente OpenVAS brinda algunas sugerencias para corregir los diversos tipos de vulnerabilidades encontrados.

PROCEDIMIENTO EXPERIMENTAL.

Dirección IP Red GNU/LINUX: desde la terminal con el comando:

ipconfig

o también podemos utilizar el comando:

ip addr

sabemos cual es la dirección IP

img0

con el uso de la herramienta nmap desde la terminal, generamos el primer reporte de cuantos dispositivos estaban en ese momento conectados a la red

nmap -A -O -V <Dirección IP>* -oX <Nombre del archivo>.xml
img1

img2

-A: Escaneo agresivo y detección de la versión del sistema operativo.
-O: Detección del sistema operativo.
-v: Muestra el análisis que esta generando en consola.
-oX: Genera un archivo XML el cual contiene el reporte de las IP’s conectadas y los puertos activos y cerrados.

(puedes omitir este paso) :

Con la herramienta xsltproc transformamos el reporte XML generado por nmap a una pagina web HTML para una mejor visibilidad.

xsltproc <nombre archivo>.xml -o <nombre archivo>.html

img6

Puedes instalar OpenVAS con este pequeño tutorial en los repositorios de github
https://github.com/GLUD/Pentesting-Red-Grupo-GLUD

iniciamos OpenVAS

openvas-start

ya podemos correr la interfaz de administración de OpenVAS con nuestro navegador por defecto

img4

localhost:9392

en este caso desde el navegador Firefox ingresamos a la interfaz de administración de OpenVAS por el puerto predeterminado 9392 para este servicio.

img5

Inician sesión en OpenVAS, dependiendo del nombre de usuario que ustedes coloquen en el momento de la instalación de esta herramienta y pueden generar una contraseña con el comando openvas-setup desde la terminal, También pueden crear un usuario nuevo con una contraseña con el comando

openvasad -c add_user -u your_new_login_here -r Admin

Digitamos todas las ip’s activas que nos mostró nmap en el momento que realizamos la inspección, para poder saber el tipo de vulnerabilidad y la solución que OpenVAS le da a cada una de ellas.

img7

Pueden observar la descripción general que nos da OpenVAS con dos reportes los cuales indican los tipos de vulnerabilidades que tiene cada puerto detectado y cada IP junto con su gateway, ademas puedes descargar cada reporte en diferentes tipos de formatos como: HTML, XML, PDF, entre otros.

img8

img9

img10

Reporte generado con OpenVAS después de realizar exitosamente el análisis de vulnerabilidades.

Reporte OpenVAS

CONCLUSIONES

Al explorar vulnerabilidades en la red del Laboratorio de Tecnologías Libres, se analizó cada puerto de las direcciones IP’s activas. En cada computador conectado a la red se reconocieron; los proyectos de los compañeros ingresando a los puertos que tenían activos corriendo servicios que estaban ejecutando en ese momento, también se detecto el sistema operativo que estaban corriendo, los tipos de vulnerabilidades y el estado de los puertos usados (detectando la disponibilidad de conexión a estos) concluyendo que no todos los puertos abiertos son vulnerables. Adicionalmente, ante las vulnerabilidades detectadas, una de las soluciones más comunes de OpenVAS era “Bloquear los paquetes no deseados fugados de la red”.

CITAS Y REFERENCIAS

Documentación oficial OpenVAS

  • http://www.openvas.org/documentation.html

Documentación oficial nmap

  • https://nmap.org/docs.html

Computación Forense, Una Visión General.

La ciencia forense es la aplicación metodológica correcta de un amplio espectro de disciplinas científicas para responder a preguntas importantes para el sistema jurídico. La tecnología, la metodología y la aplicación constituyen la ciencia forense y dirigen su avance igualmente.”
(
Franke K. , Srihari S.N. 2008. Página 2)

Los métodos computacionales proporcionan herramientas para analizar mejor la evidencia, además de proporcionar la base científica para una disciplina forense o procedimiento para el análisis de grandes volúmenes de datos. Puede representar el conocimiento experto humano y para implementar capacidades de reconocimiento y razonamiento en máquinas.
(Franke K. , Srihari S.N. , 2008)

Srihari, S. Franke, K. Conputational Forensics. Springer. 2008. Alemania
Documento completo: Computational Forensics An Overview
(Obtenido gracias a la herramienta https://sci-hub.cc/)

https://es.slideshare.net/LeidyAldana1/introduccin-a-la-informtica-forense-76 456679   (para cargar este link es necesario quitar el espacio entre 76 y 456679)

Ransomware

Tipo de malware (software malicioso) que tiene como objetivo impedir el acceso a un sistema o a un conjunto de archivos, ya sea por bloqueo de credenciales por “cifrado”  no autorizado.

Una vez que se ha perpetrado el ataque, al propietario del sistema -o de los archivos; se le exige una suma de dinero (rescate) por restituir los permisos.

El rescate se paga comúnmente en bitcoins. Algunos atacantes piden rescate no solo para restituir el acceso sino también para no divulgar el contenido de los archivos.

¿Cómo protegerse del malware?
  1. Clasifique sus archivos
  2. Cifre los archivos sensibles o de alto valor personal o para la organización.
  3. Desarrolle un adecuado modelo de copias de respaldo.
  4. Utilice equipos dedicados para almacenar y trabajar con archivos de alto valor para la organización. En dichos equipos como mínimo:
    • Evite conectarse a sitios no autorizados.
    • Impida el acceso físico de personal no autorizado.
    • No instale aplicativos de dudosa procedencia.
    • Mantenga actualizados los aplicativos y el software antivirus
    • Proteja los puertos (físicos y lógicos)
    • Habilite el firewall.
    • absténgase de abrir correos o archivos cuyo destinatario no sea confiable y cuyo contenido no tenga que ver con procesos de trabajo (cadenas de oración, imágenes religiosas, archivos ejecutables, presentaciones de autosuperación, etc).

GISEPROI – Grupo de Investigación en Sistemas Empresariales y Protección de la Información

Universidad Distrital Francisco José de Caldas

Estados de Madurez de un SGSI

Implementar un sistema de Gestión de Seguridad de la Información (SGSI) no es una cuestión de cumplimiento normativo, es un proceso de transformación de la cultura organizacional en aras de convertir a la información en un activo valioso para la empresa.

En el siguiente enlace se presenta una matriz básica para poder determinar el estado de madurez de los SGSI dentro de una organización atendiendo a un conjunto simple de evidencias:

Matriz de Estado de Madurez de los SGSI

GISEPROI

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

AtomBombing una técnica para inyección de código en Windows

Investigadores de EnSilo han publicado un vector de ataque que aprovecha vulnerabilidades en las tablas Atom de los sistemas operativos Windows.

Esta técnica es particularmente importante debido a que puede generar un ataque de inyección de código en virtualmente todos las versiones de Windows, incluyendo la versión 10. Los pormenores del informe se encuentran en:

http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions

Mientras que los aspectos técnicos en:

https://breakingmalware.com/injection-techniques/atombombing-brand-new-code-injection-for-windows/

(Este último sitio trata de bloquear accesos no anónimos así que se recomienda usar Tor o un navegador similar)

Noticias rápidas GISEPROI – Grupo de investigación en Sistemas Empresariales y Protección de la Información

Universidad Distrital Francisco José de Caldas

Mega ataques DDOS utilizando dispositivos IoT

Usualmente los sistemas de seguridad se rompen por la parte más frágil. Y dado la inocente (irresponsable??) visión con la que la industria ha encarado el diseño de dispositivos para el Internet de las Cosas (IoT), era inevitable que los especialistas de seguridad pusieran su vista sobre ellos y empezaran a encontrar sus enormes fallos.

Estos últimos meses, un grupo de personas han logrado “infectar” una enorme cantidad de dispositivos para orquestar un “mega” Ataque de Denegación de Servicio Distribuido (DDoS) cuyo objetivo era directamente al core mismo de Internet: los servidores DNS.

Evidentemente este ataque ha sido solo un llamado de atención, quizás una jugada estratégica para que el mundo empiece a invertir recursos suficientes para encarar los riesgos que supone el crecimiento de la IoT. Un ataque mayor (incluyendo otros objetivos) podría haber causado un colapso en la red mundial de comunicaciones con pérdidas incalculables.

Un dato particularmente interesante es que Colombia se encuentra entre los principales países cuyos dispositivos están infectados y participan activamente en la perpetración de los ataques.

Figure 1 – Global Distribution of gafgyt Bots (Source: Level 3 Threat Research Labs)

Figura: Distribución Global de bots. Colombia se encuentra entre los países con mayor cantidad

Fuente: Level 3 Threat Research Labs

Información básica:

https://es.wikipedia.org/wiki/Mirai_(malware)

https://es.wikipedia.org/wiki/Sistema_de_nombres_de_dominio

https://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio

https://es.wikipedia.org/wiki/Internet_de_las_cosas

Más información del ataque:

https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

https://www.flashpoint-intel.com/attack-of-things/

Noticias rápidas – GISEPROI Grupo de Investigación en Sistemas Empresariales y Protección de la Información

Universidad Distrital Francisco José de Caldas