Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

lunes, 20 de junio de 2011

Metodologías de respuestas ante incidentes

Intrusiones en nuestros sistemas, gusanos que se replican por la red red infectando nuevas víctimas, defacements de sitios web y denegaciones de servicios (DDoS) son solo algunos ejemplos de incidentes que pueden ocurrir en cualquier empresa y corporación hoy día.


Recientemente estuve en una multinacional por un problema en el cual tenían varias máquinas infectadas con un rootkit, dicho rootkit lo detectaba el AV pero al limpiarlo seguían infectándose. Al tratarse de una multinacional, la infección venía de otro País, pero se estaba extendiendo por todo el sistema. En un solo día, con el trabajo en equipo de varios profesionales involucrados, pudimos conocer el tipo de malware que era, que vulnerabilidades aprovechaba y cuales eran sus vectores de propagación para, a partir de esos datos, poder proponer un plan de contención y detección proactiva de más equipos infectados, parcheo y desinfección.

Para casos similares a este y para cualquier incidente similar a los mencionados al principio, el CERT Societe General dispone de una serie de IRM (Incident Response Methodologies) para actuar ante diferentes amenazas clasificadas como:

      lunes, 13 de junio de 2011

      Gazapos en la detención de anonymous

      Las siguiente afirmaciones extraídas de la rueda de prensa son dignas de destacar, en negrita van dichas afirmaciones, a continuación un breve comentario. Faltarán muchas incongruencias más pero, estas son algunas de las que se escucharon en la rueda de Prensa facilitada por: Jose Luis Olivera (Comisario de la UDEF), y Manuel Vazquez (comisario de la BIT)



      10/6/2011: COMISARÍA GENERAL DE POLICÍA CIENTÍFICA
      Complejo policial de Canillas (Madrid)

      A destacar:
      • Máximos responsables a nivel directivo: Anonymous es una comunidad descentralizada.
      • Organización de hackers: El uso del término "hacker" es una batalla perdida, aun así recordemos. Según Himanen, un hacker no es un delincuente, vándalo o pirata informático con altos conocimientos técnicos (a los que prefiere llamar crackers), sino que hacker es todo aquel que trabaja con gran pasión y entusiasmo por lo que hace. De ahí que el término 'hacker' pueda y deba extrapolarse a otros ámbitos como ser, por ejemplo, el científico
      • Sistema conocido como DDOS o Denegaciones de auxilio: Sin comentarios.
      • Eran expertos informáticos porque usaban encriptación y redes wifi, algunas hasta de vecinos: Sin comentarios.
      • Son anónimos de verdad, ha sido muy difícil llegar a ellos: de eso se trata.
      • Denominan cúpula a los 3 detenidos porque son los administradores del chat: Sin comentarios.
      • Todas las grandes empresas tienen un departamento de Seguridad: Sin comentarios.
      • Muchas empresas y organizaciones para protegerse contratan otras empresas para contratar más ancho de banda y evitar que le hagan un DDOS: Sin comentarios.

      EXTRA:
      -Pantallazo publicado por la policía enseñando algunas herramientas que usan en sus investigaciones.
      -IMAGEN del material incautado: Revista @rroba, routers, máscara de Guy...
      -Comunicado de Anonymous en respuesta a estas detenciones.
      -Uno de las mejores artículos que he leido de lo ocurrido, y casualmente no es de ningún medio español pero sí de una periodista española.
      - Así actuo la Policía para identificar a los supuestos líderes.

      Horas después de esta rueda de prensa, la página web de la policía era víctima de un ataque DDoS, algo muy previsible según el CCN-CERT. Anonymous también publicaba un video aclarando conceptos.

      miércoles, 1 de junio de 2011

      Clickjacking y sígueme en twitter

      Ayer twitter publicaba la disponibilidad del nuevo botón "Sígueme".


      Dicho botón permite de una forma sencilla que cualquier sitio web lo incluya y permitir así poder hacerse seguidor sin necesidad de ir al sitio de twitter. Se trata de una poderosa herramienta para establecer una conexión más profunda con su público, o con cualquiera

      Por otra parte Clickjacking es un tipo de ataque que se basa en el uso de capas transparentes para hacer que un usuario haga click en un botón o enlace de una web de nuestra propiedad mientras el usuario piensa que hace click en otra parte. Pues bien, a las horas de publicarse el famoso botón de twitter, un investigador de seguridad francés, ha liberado una prueba de concepto (POC) de la vulnerabilidad en el botón de twitter.

      Se basa en lo siguiente:
      • Configura el iframe totalmente invisible a través de CSS
      • Captura el evento mouse
      • Cuando el usuario mueva el ratón, mueve el iframe del botón de twitter para que siempre permanezca bajo el cursor.
      • Si el usuario hace click en cualquier parte de la página, automáticamente seguirá la cuenta.
      Como en el momento de probarlo no estaba disponible la página de test, he creado esta para comprobar el funcionamiento.

      Esta es la petición HTTP que generá y le devuelve el OK.



      Pero aún así, no todo va de seguidores, el peligro que tiene dicha vulnerabilidad es que de esa forma, sin necesitar la precondición de estar logueados, nos pueden llevar a cualquier sitio sin nuestro conocimiento. Compruébalo.