Jorge Alberto Mussuto Sr.

Jorge Alberto Mussuto Sr.
Somewhere in Massachusetts ®

Saturday, September 4, 2010

Control de la integridad de los servidores

Control de la integridad de los servidores: "

Control de la integridad

Cuando un servidor a sido “pirateado” el atacante suele enmascarar su paso borrando las huellas en los diarios de actividad, los ficheros log. Además puede instalar un serie de herramientas que le permiten crear una puerta trasera para poder volver a entrar sin dejar ningún tipo de huellas. Algunos, rizando el rizo, piensan en corregir la vulnerabilidad que les ha permitido entrar para evitar que cualquier otro pirata informático pueda entrar.



Su presencia en un servidor se puede detectar con algunos comandos de administración que permiten presentar la lista de procesos en ejecución o más sencillamente la lista de usuarios conectados. Desgraciadamente existen unos programas, llamados rootkit, que se encargan de sobrescribir la mayoría de las herramientas del sistema y remplazarla por comandos equivalentes que enmascaren la presencia del pirata informático.



Está claro que, en ausencia de signos de deterioro, puede ser muy difícil para un administrador de sistemas de darse cuenta que una máquina a sido atacada. Cuando aun así nos encontramos con la prueba de una intrusión es necesario intentar darle una fecha probable al ataque para así poder determinar su posible extensión a otros servidores.

Análisis de la presencia de rootkits

Algunas herramientas, como por ejemplo chkrootkit, ver la web http://www.chkrootkit.org/, permiten identificar la presencia de rootkits en un sistema. Esto estaría muy bien si no fuese que para utilizar este tipo de herramientas es necesario estar seguro de la herramienta y de la información que nos devuelve pero un sistema que ha sido atacado no puede estar considerado como confiable.

Análisis de integridad

Para poder estar seguro de la integridad de un sistema informático es necesario detectar las vulnerabilidades cuanto antes. Este es el objetivo que persiguen programas controladores de integridad como puede ser Tripwire (http://sourceforge.net/projects/tripwire/).



El programa Tripwire, desarrollado en 1992 por Gene Kim y Eugène Spafford, permite asegurar la integridad de los sistemas vigilando de manera permanente las modificaciones efectuadas a ficheros o directorios concretos. Tripwire efectúa un control de integridad y mantiene al día una base de datos de las firmas de dichos ficheros o directorios. A intervalos regulares inspecciona las siguiente características de los ficheros para identificar cualquier modificación y en consecuencia un posible ataque:

  • Permisos

  • Fecha de última modificación

  • Tamaño del archivo

  • Fecha del último uso

  • Firma del archivo.

Las alertas, si las hay , son enviadas por correo electrónico, de manera preferente a un servidor remoto para así evitar cualquier borrado por parte del pirata informático.



Uno de los creadores de este programa, Gene Kim, fundó la empresa Tripwire Incorporated, http://www.tripwire.com/, en 1997 para dar servicio al mercado comercial pero sus dos productos Tripwire Enterprise y Tripwire for Servers son muy similares a la versión Open Source.

Límites al control de integridad.

Para poder utilizar los resultados que nos devuelva un controlador de integridad es necesario estar seguro de la integridad de la máquina en el momento de su instalación. Es bastante complicado configurar este tipo de programas ya que el número de ficheros a vigilar es potencialmente muy elevado, además es necesario, en cada instalación de un nuevo software, volver a configurar estos controladores de seguridad par añadir los ficheros de configuración y los directorios de trabajo de estos nuevos programas bajo control.

Tenemos que tener en cuenta que este tipo de solución puede emitir un número muy elevado de falso positivos, sobre todo cuando el servidor modifica de manera automática ficheros de configuración o ficheros del sistema en el momento de una actualización de este. Mi recomendación es:

  • Desactivar las actualizaciones automáticas de cualquier equipo y en particular de cualquier servidor. Es preferible que una de las tareas diarias del administrador del sistema sea la de decidir si instalar o no una actualización del sistema operativo, de los programas instalados o de un controlador de dispositivo. Esta recomendación no solo es para que tengamos controladas las alertas de los controladores de integridad sino también para que podemos decidir con criterio si tal o tal actualización es necesaria para nuestro equipo. Mi visión particular es que fuera de las actualizaciones de seguridad prefiero tener un servidor un poco menos a la última pero seguro. Si podemos disponer de un servidor de pre-producción entonces recomiendo instalar las actualizaciones no urgentes en ese servidor para probarlas, si no dan problemas las pasaremos a producción.

  • Limitar el número de ficheros y directorios que queramos tener controlados y nos limitemos a los que realmente son importantes.

Programas controladores de actividad:

Tripwire: http://sourceforge.net/projects/tripwire/

Afick: http://afick.sourceforge.net/index.html



Fuente: Blaunia

Share your story with the new Google Translate

Share your story with the new Google Translate: "
(Cross-posted from the Google Translate blog)

Today, you may have noticed a brighter looking Google Translate. We’re currently rolling out several changes globally to our look and feel that should make translating text, webpages and documents on Google Translate even easier. These changes will be available globally within a couple of days.

Google Translate’s shiny new coat of paint

With today’s functional and visual changes we wanted to make it simpler for you to discover and make the most of Google Translate’s many features and integrations. For example, did you know that you can search across languages on Google using Google Translate? Or that you can translate incoming email in Gmail or take Google Translate with you on your phone? We’ve added all these tips on the new Do more with Google Translate page. You can also see some of these tips rotating on the new homepage.

We’ve also created an Inside Google Translate page, where you can learn how we create our translations. Is it the work of magic elves or learned linguists? Here Anton Andryeyev, an engineer on our team, gives you the inside scoop:



It’s always inspiring for us to learn how Google Translate enables people to break down communication barriers around the world. Lisa J. recently shared with us how she uses Google Translate to stay in touch with her grandparents. “I moved to the U.S. from China when I was six,” Lisa told us, “so I speak both English and Chinese fluently but I’m not very good at reading the complex Chinese alphabet.” When she gets an email from her grandparents in China, Google Translate helps her understand the sentences she can’t quite read. She also uses Google Translate when she’s writing her response. “I use Google Translate to make sure I’m using the right character in the right place,” she explained.

Do you use Google Translate to stay in touch with distant relatives? Read foreign news? Or make the most of your vacation? We’d love to hear from you, and invite you to share your story with us. Who knows, we might feature your story on the Google Translate blog!

Posted by Awaneesh Verma, Product Manager


La orden shun

La orden shun: "

Como cada día 1 de septiembre desde hace unos años, volvemos a la carga con el blog; y como cada día 1 de septiembre desde hace unos años esperamos que las vacaciones hayan sido provechosas en todos los sentidos, que hayan descansado y que vuelvan con las pilas cargadas para los meses que nos quedan (sólo 11) hasta el próximo periodo de descanso estival. Tras el mes de agosto, vamos a comenzar con la marcha habitual en Security Art Work, en este caso con un post de José Luis acerca del filtrado en los dispositivos ASA de Cisco. Vamos allá…


Si en nuestra organización disponemos de un IPS, cuando éste detecta un ataque suele filtrar de forma inmediata el tráfico proveniente de la dirección IP atacante; no obstante, si simplemente tenemos un IDS, una vez que nuestros sistemas de detección han detectado y notificado una actividad potencialmente sospechosa, la primera función que suele llevar a cabo el personal de seguridad es el filtrado manual de las conexiones en el firewall corporativo para, posteriormente, realizar un análisis más minucioso del ataque, una análisis forense e incluso, en caso de ser necesario, proceder a denunciar el hecho ante las FFCCSE. En cualquier caso, la velocidad de respuesta a la hora de llevar a cabo el filtrado de la dirección IP que nos ataca es crítica, ya que cuanto más tiempo pueda tener acceso el atacante a nuestros sistemas, mayor será el daño que nos cause, por ejemplo dejando puertas abiertas para conexiones futuras o directamente robando información.


Aunque debemos tener perfectamente procedimentados y probados los pasos a seguir como respuesta a un ataque -o intento de ataque-, lo cierto es que durante esos momentos de ‘tensión’ lo primero que se suele hacer es, al menos, filtrar todo tipo de acceso desde la IP atacante a nuestros sistemas. En este post se va a tratar una forma rápida y sencilla para llevar a cabo el filtrado de conexiones sospechosas en sistemas firealls ASA de Cisco Systems, los cuales integran otros sistemas como VPN o IPS.


A la hora de integrar un IPS en el sistema ASA, lo habitual es contar con una tarjeta hardware dedicada en el propio equipo o con sensores distribuidos en la red que recopilan la informacion del ataque y envían las órdenes de filtrado al firewall. Puesto que asuminos que no tenemos este tipo de sistemas -si los tuviéramos, el filtrado sería automático, como hemos comentado-, podemos usar directamente la orden shun de ASA para filtrar direcciones concretas de forma cómoda; incluso mediante la creación de varios scripts, podríamos integrar un IDS como Snort con un firewall ASA.


El funcionamiento de la orden shun es sencillo. Su función es básicamente la de finalizar las conexiones ACTUALES y denegar las nuevas conexiones, basándose en una serie de parámetros como pueden ser la dirección IP origen, la dirección o puerto destino, el tipo de protocolo, etc. A su vez, también registra las conexiones filtradas hasta que las direcciones son habilitadas de nuevo en el firewall. Por ejemplo, si nuestro IDS ha detectado un potencial ataque desde una IP externa (para este ejemplo, tomamos la dirección privada 192.168.1.1) hacia nuestro servidor web (con dirección 10.20.20.1), podemos proceder a filtrar la IP externa en nuestro firewall:



ASA# shun 192.168.1.1

Shun 192.168.1.1 successful

401002: Shun added: 192.168.1.1 0.0.0.0 0 0

401004: Shunned packet: 192.168.1.1 ==> 10.20.20.1 on interface outside

401004: Shunned packet: 192.168.1.1 ==> 10.20.20.1 on interface outside

401004: Shunned packet: 192.168.1.1 ==> 10.20.20.1 on interface outside

401004: Shunned packet: 192.168.1.1 ==> 10.20.20.1 on interface outside



Comprobamos que hemos aplicado shunning IDS y aumentan los contadores de tráfico bloqueado:



ASA# show shun stat

outside=ON, cnt=134

inside=OFF, cnt=0

intf2=OFF, cnt=0


Shun 192.168.1.1 cnt=9, time=(0:00:10)



Si en un futuro necesitamos habilitar de nuevo el tráfico desde la dirección IP que hemos bloqueado, podemos hacerlo mediante la siguiente orden:



ASA# no shun 192.168.1.1

401003: Shun deleted: 192.168.1.1



Como vemos, Cisco ASA proporciona una orden rápida y sencilla para bloquear completamente a un atacante en nuestro cortafuegos. Aunque lo ideal es tener un sistema IPS que filtre los ataques de forma automática, en caso de que esto no sea posible, el filtrado manual se vuelve un proceso critico, por lo que debe ser procedimentado y conocido por el personal de seguridad. Y por supuesto debe ser probado de forma periódica, ya que como sabemos, los momentos de tensión son los peores para ponerse a probar…

Seguridad en SAP

Seguridad en SAP: "

Recientemente recibimos un curso de Seguridad en SAP durante el que se analizaron los aspectos más importantes en la seguridad de estos entornos y los errores más comunes que pueden encontrarse en una implantación SAP. SAP es un sistema de planificación de recursos empresariales o ERP que permiten, mediante módulos, la integración y control de todas las operaciones relacionadas con la compañía, y como podrán imaginarse una reducción de costes para ésta. Se compone de una serie de módulos que realizan una función en concreto, como la gestión de almacenes (WM), producción (PP-PI), gestión de calidad (QM), gestión de materiales (MM), etc. Cada uno de estos módulos proporcionan al entorno SAP un mayor número de funcionalidades. En esta entrada de Security Art Work se comentarán, de forma resumida, los procesos correctores más comunes en el ámbito de la seguridad dentro de un sistema de estas características.


Los aspectos más habituales de seguridad SAP se centran en la parametrización general del sistema, la configuración de transacciones incompatibles desde el punto de vista operativo en el entorno de los procesos de negocio, la segregación de funciones y la gestión de identificación y autenticación de usuarios. Pero antes de comenzar a tratar cada uno de los puntos expuestos con anterioridad, debemos presentar el concepto de mandante. Un mandante es un subsistema o unidad independiente dentro de un sistema SAP. Las acciones que se realizan dentro de cada mandante reciben el nombre de transacción. Éstas son órdenes que llaman a un programa escrito en ABAP, que a su vez realiza transacciones a través del core de SAP, consultando en la mayoría de los casos la base de datos.


Desde el punto de vista de seguridad, los mandantes deben estar cerrados y no permitir las modificaciones a objetos del repositorio y la parametrización no dependiente del mandante. Para ello hay que restringir las transacciones SE06 y SCC4 indicando que no son modificables, no se debe permitir la comparación de customizing ni admitir cambios no dependientes del mandante, se debe seleccionar el nivel 2 de protección e indicar que el rol del mandante es de tipo productivo. Otras transacciones críticas a tener en cuenta a la hora de restringir su acceso son la SV01 (gestión de usuarios), SN01 (transacciones que se pueden realizar) y SCC5 (borrar el mandante).


Los mandantes por defecto en todo sistema SAP son 000, 001 y 066. Si no existe usuario para estos mandantes se podrá acceder a este mediante el usuario SAP* y la contraseña PASS, de la misma forma que si existen los usuarios por defecto, estos serán SAP* y DDIC, con contraseña 06071992 y 19920706 respectivamente. Otros usuarios por defecto son SAPCPIC y EARLYWATCH (sólo mandante 066), todos ellos con permisos de administración. Por tanto es importante en toda implantación SAP -como en toda implantación a secas- cambiar las contraseñas por defecto de dichos usuarios mediante el report RSUSR003.


En el entorno SAP existen una serie de transacciones que deben ser limitadas, incluso impedir desde cualquier usuario su llamada, debido a los riesgos de seguridad que implican. Principalmente se trata de la SE11, SE16, SE30, SA38, SM30, SE16m y SM49, y debemos prestar especial atención a RSBDCOS0, SM38 (shell de sistema), SM49 (creación de órdenes del sistema) y SM59 (ejecución de órdenes en el sistema). Otro punto de control a tener en cuenta son aquellas transacciones desarrolladas a medida para la empresa por un equipo de desarrollo no perteneciente a SAP y que, por tanto, no han pasado por el equipo técnico de calidad de SAP. Estas transacciones se identifican por la primera letra del nombre de la transacción (letra Z o letra Y) y son las llamadas transacciones Z* o Y*. Deben cumplir con unos requerimientos mínimos de seguridad que limiten su ejecución a los usuarios autorizados para ello; estas restricciones específicas se conocen con el nombre de authority-check y sin ellas cualquier usuario con acceso a la transacción de lanzamiento SE38 o SA38 podría ejecutar dichas transacciones (existe el report RSRSCAN1 que permite comprobar si se están realizando los correspondientes comprobaciones de autorización).


Otro aspecto de seguridad en el ámbito de SAP es el relacionado con la gestión de usuarios; de entrada, no se debe permitir a un usuario saltar a otro mandante distinto al asignado, para lo que aquellos usuarios que se conecten de forma remota (ya sea mediante la interfaz Web o mediante el cliente R/3) deben de estar configurados como usuarios de fondo y NO como diálogo. De la misma forma, es recomendable la aplicación de políticas de seguridad que fuercen al uso de contraseñas seguras, por ejemplo empleando la transacción SM30 → USR40 para especificar, mediante expresiones regulares, qué contraseñas no son válidas y un diccionario de palabras no permitidas. Adicionalmente, mediante el uso del report RSPARAM, se pueden parametrizar aspectos como el número de logins incorrectos, longitud mínima de la contraseña, seguimiento de la inactividad, etc.


Finalmente, pero no por ello menos importante, debemos hablar de una segregación de funciones correcta en SAP, que no permita a un determinado usuario acceso a determinadas combinaciones de transacciones; para ayudar en esta segregación de funciones, SAP dispone del report RSVR008_009_NEW, que permite indicar las combinaciones críticas existentes en el sistema.


Seguiremos añadiendo algún post de este mundo -SAP- que hasta el curso que hemos comentado, desconocía por completo y que, una vez hemos comenzado a entrar en él, se adivina inmenso -y conflictivo- desde el punto de vista de su seguridad.

iPod touch destripado por la FCC... mientras iFixit mira con envidia

iPod touch destripado por la FCC... mientras iFixit mira con envidia: "

Filed under: ,


Es casi una tradición ver las destripadas de iFixit después del lanzamiento de un producto nuevo, sin embargo esta vez la agencia federal estadounidense FCC se adelantó al popular sitio y publicó jugosas fotos del interior del iPod touch. El nuevo reproductor de Apple, que lleva el número de producto A1367, presenta un procesador A4, antena interna (que evitará problemas como los vistos en otros aparatos), y WiFi n de 2,4GHz. No te pierdas las fotos en la galería.

Read | Permalink | Email this | Comments

Lacie MosKeyto: Una memoria flash lista para picar a tu puerto USB

Lacie MosKeyto: Una memoria flash lista para picar a tu puerto USB: "

Filed under:


Teniendo en cuenta que el factor de forma del conector USB es prácticamente irreducible, ¿qué pueden hacer los fabricantes para llamar la atención de los consumidores? Fácil, poner a su producto el nombre de un insecto. Eso es lo que ha hecho Lacie con sus nuevas memorias MosKeyto, una unidad flash con dimensiones similares a las de un nanoreceptor (sería exagerar demasiado que se parecen a las de un mosquito) que vendrán con capacidades de 4 y 8 GB (más adelante tendremos una de 16 GB) a un precio de 18 y 26 dólares (14 y 20 euros) respectivamente. No olvides el protector de insectos...

Read | Permalink | Email this | Comments

Presentados los nuevos iPod, nuevo iTunes, y nuevo AppleTV

Presentados los nuevos iPod, nuevo iTunes, y nuevo AppleTV: "


Gama actual


Ha sido renovada toda la gama de modelos de iPod, con nuevos diseños y características, aquí tenéis los tres modelos nuevos.


iPod shuffle




iPod shuffle


Más pequeño, y con botones, que es lo que la gente echó de menos en el modelo anterior. Con clip en la parte posterior, listas de reproducción, yhasta 15 horas de batería. Disponible en cuatro colores, azul, rosa, verde y amarillo.


El precio, 49 dólares.


iPod nano




iPod nano


Se elimina la click wheel, con pantalla multitouch, y es realmente pequeño y ligero. Con clip en el lateral, como el shuffle, con botones de volumen, VoiceOver, FM Radio, y 24 horas de batería. Los colores son grafito, rojo, azul, rosa, verde y amarillo.


Precios y modelos:

8 GB 149 dólares

16 GB 179 dólares


iPod touch




iPod touch


El nuevo iPod touch es aún más delgado que su antecesor, con pantalla retina, como el iPhone 4, el mismo micro chip, giroscopio, y cámara de vídeo con FaceTime, y grabación de vídeo HD. 40 horas de batería. Es más o menos un iPhone 4 sin teléfono.


Precios y modelos:

8 GB 229 dólares

32 GB 299 dólares

64 GB 399 dólares


Todos los iPod estarán disponibles la semana que viene. El iPod classic sigue vivito y coleando en la Apple Store, aunque Steve Jobs no ha dicho nada sobre él. Una vez más se salva de su muerte anunciadísima.


iTunes 10



Más elegante, más simple y con nuevas vistas. La gran novedad es Ping, que es una red social enfocada a la música e integrada en iTunes. Podremos ver la música de nuestros amigos, y seguir a nuestros artistas favoritos.


iTunes 10 estará disponible hoy mismo.


Nuevo AppleTV




AppleTV


Muchísimo más pequeño que el anterior, con salida HDMI, ethernet y WiFi, y sin disco duro. Todo el contenido que se podrá adquirir estará en alta definición, y no habrá ventas, solo alquiler. El contenido se verá por streaming, sin sincronización.


El precio de las películas es de 4.99 dólares, mientras que los episodios de las series estarán disponibles por 0.99 dólares.


El precio del nuevo AppleTV es muy atractivo, tan solo 99 dólares. Estará disponible dentro de 4 semanas.


iOS 4.1


También ha sido anunciada la salida del nuevo software 4.1 para iPhone y iPad, con las siguientes novedades:


- Fotos HDR, una técnica usada para mejorar la exposición de una foto.

- Game Center, una red social para jugar online con tus amigos, o con desconocidos.


Estará disponible la semana que viene a través de iTunes.


iOS 4.2


En cuanto al futuro, se han presentado algunas características de la siguiente actualización, la 4.2, que estará disponible en noviembre. Podremos imprimir desde el iPad, y disfrutar de las carpetas, y otras características ya disponibles en el iPhone.


También se podrá distribuir el contenido del iPad en el nuevo AppleTV a través de la red WiFi, con una nueva característica llamada AirPlay.


Estas son las novedades, esperamos que os hayan gustado tanto como a nosotros.


Publicado en: iPod Noticias © www.ipodnoticias.com

Presentados los nuevos iPod, nuevo iTunes, y nuevo AppleTV




Blog Archive

Quilts

Where am I?