domingo, 16 de abril de 2017

33 Principios de Seguridad IT de la NIST (National Institute of Standards and Technology) recomendados.

Ttotalmente recomendable revisar y aplicarlo en cualquier fase que nos encontremos en el desarrollo de un sistema en nuestra propia empresa o entidad.
Estos principios están basados en la publicación de la NIST Special Publications 800–27 Rev A, Engineering Principles for Technology Security, es un análisis personal, también he tomado otras normas como la ISO 27001 (ISO de Seguridad de la Información), PCI (Norma de protección de los datos de tarjetahabientes) y OWASP ( proyecto abierto de seguridad en aplicaciones Web) como mejores practicas en “Desarrollo Seguro de Software”.

A continuación muestro algunos principios que me llamaron la atención:
Principio 1 y 2: Establecer una política de Seguridad solida como base fundamental.
En otras normas tamb ién es fundamental, por ejemplo en la ISO de Seguridad de la Información ISO 27001 (Según la cláusula 4.3.1, los documentos del SGSI) y en la PCI (Payment Card Industry) el Requerimiento No 12 “Maintain an Information Security Policy”.
NIST 800–27:


ISO: https://www.iso-27001.at/download/
PCI:https://pcicompliance.stanford.edu/sites/default/files/pci_dss_v3-2.pdf
Principio 4: Asegurarte que los desarrolladores de software han sido capacitados en “Desarrollo Seguro”.
Como complemento agrego el link de OWAS (Open Web Aplicacion Security Project), super importante que el área de desarrollo de software de las empresas tengan una capacitación sobre este proyecto, a continuación muestro un Checklist muy completo que toda área de desarrollo de software debería seguir para cumplir los requerimientos de seguridad.
OWASP: https://www.owasp.org/index.php/Sobre_OWASP
Principio 5: Reduce el riesgo a un nivel aceptable
También va de la mano con la ISO 27001 y la ISO 27005 de Gestión de Riesgo. Uno de los pilares de la Seguridad de la Información, Identificar y Controlar el Riesgo que tienes en la Empresa, controlarlo con los controles más idóneos que tengas para reducir el riesgo.
Por ejemplo de la ISO 27001:2013
En el caso de la PCI también te recomienda analizar los riesgos que tienes en las empresas:
Principio 6: Asumir que sistemas externos son inseguros y el Principio 16 Implementa la seguridad por capas
Como Internet, Proveedores, Consultoras en general “terceros” que se conectan a tu red para entregar o recibir información que tú produces o necesitas.
Seasume inseguro por que no tienes ningún control en las redes/Sistemas externos quizás tienen un nivel de seguridad pero tú no lo sabes, por ello debes implementar niveles de seguridad por capas que permitan un control de acceso y adicionalmente un servicio de control como AAA (Accounting Authorization Accounting) así podrás autorizar y tener eventos que reporten la actividad realizada entre otros controles más específicos a aplicar, permitir el ingreso de solo el servicio que esta previamente validado.
Principio 9: Protege la Información mientras esta siendo procesada, en transito y donde esta alojada.
Como ejemplo para el caso de PCI, este principio va en el corazon de la PCI
donde indica que cuando se transfiere, recibe, procesa y donde se aloja información de Tarjetas de Crédito se debe proteger la información de los tarjetahabientes, definición de es el nombre que recibe el usuario de una tarjeta de crédito y débito
PCI:https://pcicompliance.stanford.edu/sites/default/files/pci_dss_v3-2.pdf
Principio 15: Esforzarse por la facilidad de uso operacionalCuanto el control es más elaborado a aplicar, muchas veces es más costoso y la operación será más compleja. Ejemplo cuando pedimos una contraseña fuerte para usuarios de dominio, constantemente hemos recargado al service desk y mal estar constante de usuarios. Aquí se recomienda encontrar el equilibrio entre el mejor control y la fácil adopción de usuarios, administradores, claro capacitándolos y cada cierto tiempo revisando la eficiencia del control aplicado si realmente los usuarios han podido adoptarlo adecuadamente.
Principio 17: Limitar el daño frente a un Ataque.Los sistemas deberían ser resistentes ante un ataque, por lo tanto debe
limitarse el daño, y poder recuperarse rápidamente cuando ocurre un ataque.
Ejemplo: Si tenemos servicios públicos como un servidor Web, Correo,
o alguna aplicación en Internet y esta conectado a la red Interna en la misma red de los usuarios de la empresa sin ninguna restricción esto es un grave Error!!, ya que si cualquier servicio público es comprometido desde Internet o desde la red Interna que sería lo más probable “el atacante” podrá ingresar a otros servicios de la red Interna sin ningún problema, por ello es recomendable:
  • Servicios públicos estén en una red independiente de la red interna como una DMZ para servicios públicos, DMZ para Proveedores
  • Con Políticas de firewall tanto de “entrada” como de “salida” de tráfico
  • Registros Events/logging activado para identificar y revisar intentos de intrusión.
  • Aseguramiento del mismo servicio público a nivel del servidor como un “Hardening del Servidor”.
Fuente Principal: NIST Special Publications 800–27 Rev A, Engineering Principles for Technology Security desarrollado por la NIST (National Institute of Standards and Technology).
Publicado por en No hay comentarios:

miércoles, 22 de marzo de 2017

Analiza si tienes Malware/Ramsoware

Analiza si tienes Malware/Ramsoware

Recomendaría usar el siguiente Script SSMA (Simple Static Malware Analyzer) para identificar si algún archivo tiene malware, entre otras cosas analiza y busca dentro del string del archivo:
Posibles dominios.

  • Direcciones IP, emails.
  • Si el dominio esta en un blacklist.
  • Funciones de Windows que son comunes en malware, como: OpenProcess, CreateProcess, Shellexecute.
  • Detección de Malware basado en Yara-rules
  • Existencia de algoritmos critográficos que son usado normalmente por Ramsowares.
  • Uso de VirusTotal para identicar malware.
  • Detecta la existencia de anti-debugging o anti -virtualization que son técnicas para evadir análisis de Malware automatizado.

Gracias por el gran aporte a: Lasha Khasaia, La instalación es muy sencilla:

Bajarse Python:
userx@NYC:~# sudo apt-get install python3-pip

Bajarse la Herramienta:
userx@NYC:~# git clone https://github.com/secrary/SSMA
dentro del directorio SSMA esta el script:
userx@NYC:~/SSMA# ls -l
total 68
-rw-r — r — 1 userx userx 35141 Mar 22 22:41 LICENSE
-rw-r — r — 1 userx userx 1782 Mar 22 22:41 README.md
-rw-r — r — 1 userx userx 57 Mar 22 22:41 requirements.txt
-rw-r — r — 1 userx userx63 Mar 22 22:41 requirements_with_ssdeep.txt
drwxr-xr-x 2 userx userx 4096 Mar 22 22:41 src
-rwxr-xr-x 1 userx userx 12496 Mar 22 22:41 ssma.py
userx@NYC:~/SSMA# sudo pip3 install -r requirements.txt
Collecting pefile (from -r requirements.txt (line 1))
Downloading pefile-2016.3.28.tar.gz (58kB)
100% |████████████████████████████████| 61kB 2.2MB/s
Collecting python-magic (from -r requirements.txt (line 2))
Downloading python_magic-0.4.13-py2.py3-none-any.whl
Collecting yara-python (from -r requirements.txt (line 3))
Downloading yara-python-3.5.0.tar.gz (551kB)
100% |████████████████████████████████| 552kB 876kB/s
Collecting virustotal-api (from -r requirements.txt (line 4))
Downloading virustotal-api-1.1.4.tar.gz
Collecting gitpython (from -r requirements.txt (line 5))
Downloading GitPython-2.1.3-py2.py3-none-any.whl (442kB)
100% |████████████████████████████████| 450kB 1.5MB/s
Collecting future (from pefile->-r requirements.txt (line 1))
Downloading future-0.16.0.tar.gz (824kB)
100% |████████████████████████████████| 829kB 915kB/s
Requirement already satisfied (use — upgrade to upgrade): requests>=2.2.1 in /usr/lib/python3/dist-packages (from virustotal-api->-r requirements.txt (line 4))
Collecting gitdb2>=2.0.0 (from gitpython->-r requirements.txt (line 5))
Downloading gitdb2–2.0.0-py2.py3-none-any.whl (63kB)
100% |████████████████████████████████| 71kB 5.1MB/s
Collecting smmap2>=2.0.0 (from gitdb2>=2.0.0->gitpython->-r requirements.txt (line 5))

Para correr el script es de la siguiente manera y validar si un archivo tiene Malware o rutinas peligrosas:
userx@NYC:~# python3 SSMA/ssma.py file-mlwtest



Fuente Directa del Autor: Lasha Khasaia
https://secrary.com/
Publicado por en No hay comentarios:

sábado, 18 de febrero de 2017


Sabes si te están atacando desde China, Rusia, revisa tus logs

Entorno de la prueba:
Se tiene un servidor en USA/Hosting con Linux/Ubuntu y dos servicios "TCP" disponibles desde Internet como:
- SSH, puerto 22/tcp para una conexión cifrada con el servidor.
- Apache, puerto 80/tcp para publicar un servicio web, básico.
-  A continuación muestro algunos intentos de ingreso de cada servicio:


1.- Servicio SSH:  
IP es: 116.31.116.34,182.100.67.4 pertenece a China Telecom, como se puede observar constantemente hay intentos de fuerza bruta utilizando el usuario root que es super usuario a nivel del sistema operativo Linux, por ello siempre hay que colocar una contraseña fuerte con un mix entre números, letras mayúsculas, minúsculas, caracteres alfanuméricos y con un tamaño mínimo, en lo personal recomendaría 11 caracteres.

ubuntu@ubuntu:/var/log# tail -f auth.log




Feb 18 01:34:22 ubuntu sshd[14059]: message repeated 5 times: [ Failed password for root from 182.100.67.4 port 17356 ssh2]
Feb 18 01:34:22 ubuntu sshd[14059]: error: maximum authentication attempts exceeded for root from 182.100.67.4 port 17356 ssh2 [preauth]
Feb 18 01:34:22 ubuntu sshd[14059]: Disconnecting: Too many authentication failures [preauth]
Feb 18 01:34:22 ubuntu sshd[14059]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=182.100.67.4  user=root
Feb 18 01:34:22 ubuntu sshd[14059]: PAM service(sshd) ignoring max retries; 6 > 3



Feb 16 21:56:38 ubuntu sshd[12096]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.34  user=root
Feb 16 21:56:40 ubuntu sshd[12096]: Failed password for root from 116.31.116.34 port 61791 ssh2
Feb 16 21:56:44 ubuntu sshd[12096]: message repeated 2 times: [ Failed password for root from 116.31.116.34 port 61791 ssh2]
Feb 16 21:56:44 ubuntu sshd[12096]: Received disconnect from 116.31.116.34 port 61791:11:  [preauth]
Feb 16 21:56:44 ubuntu sshd[12096]: Disconnected from 116.31.116.34 port 61791 [preauth]
Feb 16 21:56:44 ubuntu sshd[12096]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.34  user=root



2.- Servicio Apache,
Es una instalación básica sin Firewall de aplicaciones web como: mod Security, que permite monitorizar sesiones HTTP.


IPs desde:Brazil,China Telecom, Moscu, USA, Irak,Surinam, Londres. Algunos intentos usan bots y el buscador Russo Yandex, quizas este intento no es malicioso.

ubuntu@ubuntu:/var/log/apache2# tail -f access.log

170.150.252.7 - -[16/Feb/2017:11:03:11 -0500] "GET / HTTP/1.1" 200 11576 "-" "curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"
171.83.79.83 - - [16/Feb/2017:11:25:29 -0500] "GET http://631333.top/proxyheader.php HTTP/1.1" 404 506 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
185.110.132.231 - - [16/Feb/2017:12:40:16 -0500] "GET / HTTP/1.1" 200 11595 "-" "Scanbot"
5.255.250.40 - - [16/Feb/2017:13:26:59 -0500] "GET /robots.txt HTTP/1.1" 404 506 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
5.255.250.40 - - [16/Feb/2017:13:27:03 -0500] "GET / HTTP/1.1" 200 3524 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
62.201.228.152 - - [16/Feb/2017:13:41:11 -0500] "GET / HTTP/1.1" 200 11632 "-" "curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"
186.179.235.16 - - [16/Feb/2017:16:03:04 -0500] "POST / HTTP/1.1" 200 3525 "-" "okhttp/3.2.0"
139.59.176.72 - - [16/Feb/2017:16:03:43 -0500] "POST / HTTP/1.1" 200 3525 "-" "okhttp/3.2.0"




Recomendaciones Generales:
- En el apache instalar y gestionar un firewall de aplicación web, como Mod Security y es opensource y también instalar un IDS como Suricata: https://suricata-ids.org/
http://idroot.net/tutorials/how-to-install-mod_security-apache-on-ubuntu-14-04/
-  Para el servicio SSH, el proveedor de Cloud me recomendo usar File2Ban contra ataques de fuerza bruta:
https://help.ubuntu.com/community/Fail2ban
https://www.youtube.com/watch?v=wvZ73tTWL_M



Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , ,

lunes, 13 de febrero de 2017

Seguridad en Whatsapp
Recomendamos activar en Whatsapp - > "Verificación de dos pasos", aumenta la Seguridad de tu cuenta.



Ajustes > Cuenta > Verificación en dos pasos- > Coloca un código de seis dígitos y una cuenta de correo por si olvidas el código.



Trata de una medida de seguridad de Whatsapp "opcional", pero recomendable. Ejemplo en el caso perdamos nuestro número de móvil y lo tenga un nuevo "usuario", éste no podría acceder a nuestros WhatsApps porque necesitaría dicha contraseña.

Fuente: http://tecnologia.elpais.com/tecnologia/2017/02/10/actualidad/1486720265_257149.html
Fuente: http://tecnologia.elpais.com/tecnologia/2017/02/10/actualidad/1486720265_257149.html

Publicado por en No hay comentarios:

lunes, 6 de febrero de 2017


Shooting Star Drones de Intel, interesante la vision que tiene Intel sobre IoT +  Inteligencia de Billones de dispositivos conectados!.


Intel adquiere un conjunto de Empresas de Inteligencia artificial, deep learning, IoT,  por ejemplo compra una empesa llamada Recon Instuments en el año 2015 por US$175Millones, Nervana Systems especialista en Deep Learning.


Ayer durante el show de medio tiempo del Super Bowl,se usaron 300 Drones del fabricante Intel "Shooting Star Drones", equipados con luces LED, cada drone pesa 28 gramos y puede volar hasta 20 minutos, lo espectacular que son manejados por un solo operador.




Intel dice que su escala es ilimitado, capaz de controlar más de 10.000 Drones a la vez. El software determina las rutas que elimina las colisiones.



 Fuentes:
https://techcrunch.com/2017/02/05/intel-powered-the-drones-during-lady-gagas-super-bowl-halftime-show/
http://www.theverge.com/2017/2/5/14517954/super-bowl-2017-drones-halftime-show-lady-gaga
http://www.nasdaq.com/article/intels-internet-of-things-acquisition-history-in-16-slides-cm738416
http://www.intel.com/content/www/us/en/internet-of-things/overview.html




Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,
Ubicación: Lima, Peru

jueves, 2 de febrero de 2017

Recomendaciones para protegerse ante Ramsoware:

A nivel de Personas:
################
1- Instalar y actualizar frecuentemente el antivirus/antimalware de PC.
2- Nunca abrir archivos adjuntos (zip, pdf, ppt,excel) de procedencia dudosa.
3- Frecuentemente hacer un backup de los datos críticos de tu PC.
4- Evitar las conexiones Wifi libres, ya que podrían no tener ningun nivel de
seguridad a nivel de autenticación y protección perimetral.
5- Tener un procedimiento regular de  administración de parches del sistema operativo delas Pcs y Servidores

A nivel de la red:
##############
1.- Instalar un firewall a nivel de aplicación para filtrar la salida a Internet, que tenga reglas
de "entrada" y "salida" que pueda identificar y bloquear la comunicación
entre las PCs Infectadas y los servidores del Ramsoware (Command & Control).

2.- Identificar directorios compartidos que están en la red, desabilitar los que son innecesarios y realizar una configuración de permisos de acuerdo a los usuarios y áreas de la empresa.

3.- Realizar backups de la información más crítica de usuarios y servidores, desde una herramienta centralizada.

4.- Monitorear la red y dispositivos de seguridad para validar, si tenemos PCs internas que están infectadas, mirar el log del firewall para identificar y bloquear las conexiones hacia el C&C.

Ejemplo de la pantalla de un ramsoware:



Publicado por en No hay comentarios:
Etiquetas: , , , , ,

martes, 10 de enero de 2017

RAMSOWARE MERRY X-MAS

Buenos tardes, Uno de los tipos de ataques más peligrosos, captura tus archivos de tu PC, encripta y luego te pide un rescate, dinero/bitcoins.

Ramsoware Merry X-Mas, primero te llega un correo:



Donde, básicamente la secuencia de pasos son:



Luego te aparece la siguiente pantalla:




Te recomiendo, identificar y bloquear en tus dispostivos perimetrales, el siguiente trafico:




192.185.18.204 port 80 - neogenomes.com - GET /court/PlaintNote_12545_copy.zip
81.4.123.67 port 443 - onion1.host:443 - GET /temper/PGPClient.exe
168.235.98.160 port 443 - onion1.pw  - POST /blog/index.php


Como sabes si tu PC está comprometida:

  • 192.185.18.204 port 80 - neogenomes.com - GET /court/PlaintNote_12545_copy.zip  [initial zip download]
  • 81.4.123.67 port 443 - onion1.host:443 - GET /temper/PGPClient.exe  [ransomware binary]
  • 168.235.98.160 port 443 - onion1.pw  - POST /blog/index.php  [post-infection callback]
  • YOUR_FILES_ARE_DEAD.HTA  [ransom notification]
  • @comodosecurity  [Telegram POC from ransom notification]
  • comodosec@yandex.com  [email POC from ransom notification]
  • File name:  PlaintNote_12545_copy.zip
  • SHA256 hash:  86e98f1ddbb2953a5de8b3d550ac2fb45fd20d1305a12dfebc2ccb6e80717631
  • File description:  Zip archive from link in malspam
  • File name:  PlaintNote_12545_copy.doc
  • SHA256 hash:  244b4205acb416700bec459c8b36be379c0b7e3d2a21a57c4a121ba95d229bc4
  • File description:  Word document with malicious macro
  • File name:  C:\Users\[username]\AppData\Roaming.eXe
  • SHA256 hash:  78cc9626bb8d6f9d8ddf8236c197894a86f9d54a294b38c9c0b82744496b3fae
  • File description:  Merry X-Mas Ransomware



Fuente: https://isc.sans.edu//
Fuente: https://www.bleepingcomputer.com/news/security/-merry-christmas-ransomware-now-steals-user-private-data-via-diamondfox-malware/


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)