miércoles, 30 de enero de 2013

Alejandro Ramos: "Un hacker es un apasionado de las incógnitas y de los misterios. Como un investigador privado"

Ángel Ríos, auditor de una empresa puntera en el sector de la seguridad informática, se encuentra en el mejor momento, tanto en el terreno profesional como en el personal. A las puertas del fin de semana, está a punto de terminar un importante proyecto y se prepara para acudir a una cita con Yolanda, antigua compañera de clase de la que siempre ha estado enamorado. Sin embargo, el encuentro no sale como esperaba: ella no está interesada en iniciar una relación; sólo quiere que le ayude a descifrar un misterioso archivo.

Así comienza la sinopsis de “Hacker épico”, el libro-novela que Alejandro Ramos y Rodrigo Yepes, expertos en seguridad informática, acaban de lanzar al mercado. Antes de presentar la novela, Alejandro Ramos nos ha contestado unas preguntas para el blog de Security Guardian.



Hacker épico. Entrevista en Security Guardian


Leo en una reseña que “Hacker épico” puede ser un libro técnico envuelto en una novela o una novela negra con detalles técnicos impecablemente detallados. ¿Con qué nos quedamos?

Me gusta creer que Hacker Épico es una novela didáctica que consigue entretener y despertar el pequeño hacker que todos llevamos dentro. Por las proporciones, prácticamente del 50/50, lo veo más como manual técnico novelado que como una novela con muchos detalles técnicos.

Vuestra idea en un inicio era realizar un manual técnico sobre seguridad informática pero os salió una novela...

Cuando empecé con el libro poco a poco sentía que no escribía nada nuevo, que aquello solo sería un manual más de referencia como muchos otros que hay en las librerías e Internet. No quería escribir algo que acabase en una estantería para que, en caso de necesidad, alguien lo abriese por determinada página para consultar una duda. Yago, un viejo amigo, me dio varias píldoras que fueron la solución: "escribe algo con lo que el lector se pueda sentir el protagonista", "que cuando terminen de leerlo quieran ser hackers", "disfruta escribiendo", "marca la diferencia con innovación". Con estos mandamientos y conociendo mis limitaciones, le pedí ayuda a Rodrigo Yepes, otro viejo amigo de la infancia y apasionado por la literatura. El escribiría la parte novelada  y yo la técnica. Muchas tardes de trabajo, mensajes intercambiados y risas acabaron materializándose en Hacker Epico.

Porque la seguridad informática tiene mucho de novela negra, ¿verdad?

A todos los que hacemos seguridad nos gusta ir superando obstáculos y retos. Un hacker es un apasionado de las incógnitas y los misterios. Exactamente igual que un inspector o investigador privado. El famoso Sherlock Holmes se valía de sus conocimientos forenses y químicos para avanzar en la investigación. Angel Ríos tiene también sus propias habilidades y trucos.

“Hacker épico” toca muchos aspectos técnicos: DLP, análisis forense de dispositivo USB, estructura de ficheros PDF, impersonación de SMS y llamadas telefónicas, ingeniería social, auditoría wireless: WEP, WPA, RogueAP, forense iPhone/SQLite, creación de APT con Metasploit, búsqueda de información (OSINT), forense de memoria RAM, keyloggers hardware, hacking Web: DVR, XSS y abuso de funcionalidades. ¿Cómo acogerán o como están acogiendo esta novela los profesionales de la seguridad informática?

De momento todas las críticas que nos han llegado han superado cualquier expectativa que teníamos. Los lectores están disfrutando tanto como nosotros lo hemos hecho escribiéndolo. Sin duda alguna, hemos conseguido con creces uno de nuestros objetivos.

¿Está también pensado para ser leído para un público no experto en seguridad informática?, ¿puede servirles para introducirse e el mundo del análisis forense o del escaneo de vulnerabilidades?

El libro tiene un nivel técnico sencillo. Se pensó en una audiencia dispuesta a iniciarse en el mundo de la seguridad, como estudiantes de informática y "geeks" en general. Para la parte técnica, si es cierto que hace falta algunos conocimientos básicos, pero cualquier aficionado seguro que es capaz de seguirlo sin problemas. El motivo principal de su existencia es la divulgación, y con el se pretende animar al lector a  empezar el camino para formarse en seguridad, un camino sin fin.

El título “hacker épico” suena a juego de palabras con el concepto de “hacker ético”. ¿Así ha sido?, ¿qué opinión os merece el hacker ético?

Nos costó muchísimo encontrar un título, pero una vez dimos con él, nos enamoramos. Realmente es un doble juego de palabras, ya que el protagonista, trabaja como hacker ético en una consultora que se llama
"Épica".

El libro puede comprarse en la página web de Informática 64 y será presentado este jueves a las 20,30 en la Casa de Zamora (Calle de las Tres Cruces, 12) de Madrid


....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardia

jueves, 24 de enero de 2013

¿Tu web tiene vulnerabilidades? Detéctalas antes de que lo haga un hacker

Los expertos en seguridad de la información y escaneo de vulnerabilidades web observan en los últimos tiempos una contradicción en cuanto a la concienciación sobre la importancia de detectar y corregir los agujeros de seguridad. Por una parte, parece ser que los gobiernos y las administraciones empiezan a admitir que la ciberdelincuencia es un peligro contra el que hay que luchar con medios materiales (presupuesto) y humanos (personal capacitado). Pero por la otra, los empresarios siguen pensando que esto no va con ellos: que su página web no será atacada por un hacker.

Lo explicaba recientememente el vicepresidente de ingeniería en Swivel Secure, Chris Russell, con estas palabras: "Mientras que el Gobierno se está despertando y admitiendo los riesgos planteados por la ciberdelincuencia, descubrimos que los jefes de empresas están medio dormidos. El problema es que los empresarios creen que ese delito informático es algo que sucede a otras personas, sin apreciar el valor de los datos que poseen y las motivaciones de las personas que podrían desear obtener acceso a ellos".

Y es que los empresarios, explica este directivo, leen sobre los agujeros de seguridad en grandes empresas multinacionales como Google y LinkedIn, pero no se dan cuenta de que esos mismos detalles de inicio de sesión probablemente están siendo utilizados también para acceder a sus propios sistemas.

Así, esta empresa ha publicado un estudio según el cual al 51% de los empresarios británicos no le preocupa demasiado la seguridad de sus sistemas corporativos. Además, una cuarta parte de ellos admiten que usan la misma combinación de nombre de usuario y contraseña para todas sus cuentas, incluyendo las cuentas corporativas confidenciales y las de sitios de medios sociales.

Facilitar el trabajo a los hackers, además, acaba saliendo caro: La mejor forma de reducir el coste de los agujeros de seguridad es detectarlos, evitar que se conviertan en amenazas y que alguien nos ataque, lo que puede ocasionar pérdida de información muchas veces confidencial, descenso en los ingresos y un declive de nuestra imagen de marca. Una pequeña inversión destinada a corregir a escanear las vulnerabilidades de la página web corporativa puede evitar, pues, el quiebre de una empresa.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardia


viernes, 18 de enero de 2013

¿Qué es un escaneo de vulnerabilidades y por qué debe realizarse?

En seguridad informática, consideramos que las vulnerabilidades de una web son puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad de dicho software.

Por eso se recomienda realizar de forma periódica un escaneo de vulnerabilidades, que implica la automatización por medio de software especializado de la identificación de dichos fallos.

Inyecciones SQL, Cross Site Scripting (XSS), inclusiones de ficheros locales (LFI) y remotos (RFI), Server Side Includes (SSI) son algunas de las vulnerabilidades más frecuentes en las webs.

Realizar un escaneo de vulnerabilidades sirve para evitar que un potencial atacante pueda explotar esas debilidades para atacar nuestra web. Tener controladas las vulnerabilidades será en este 2013 más importante que nunca, puesto que las previsiones de los expertos apuntan a un incremento del malware y de los ataques tanto a webs de grandes organizaciones como a pequeñas páginas poco atentas a la seguridad online.

Para garantizar la seguridad de nuestras páginas webs, como ya explicábamos en un post anterior dedicado a la seguridad de las webs, es necesario analizar profundamente todos los elementos que intervienen en la cadena del negocio. Hay que pensar por ejemplo en seguridad a nivel lógico, físico (control de acceso, sistemas de firewall,...) y perimetral (firewalls, IDS, IPS,…), programar de forma segura, configurar correctamente servicios y aplicativos, preocuparse de la confidencialidad, disponibilidad e integridad de la información, aislar totalmente los datos, y realizar una monitorización continua de la seguridad.

Los escaneos de vulnerabiliades ayudan también a cumplir correctamente las normativas (Ej.:LOPD) y podría ser de ayuda para la seguridad y para el negocio cumplir con los estándares correspondientes (Ej.: ISO). Por todo ello es recomendable buscar asesoramiento continuo, así como contar con un proveedor estable y de confianza que pueda aportar años de experiencia en el mismo sector.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardia


jueves, 10 de enero de 2013

Ni la Nasa se libra de los hackers: 6 ataques online de altos vuelos que nos dejó 2012

Es uno de los organismos más respetados del mundo, pero cuando de ser hackeado se trata, de ello no se libra ni la NASA. Y es que el sitio web de la agencia gubernamental responsable de los programas espaciales de Estados Unidos ha sido recientemente vulnerado por un atacante que respondía al seudónimo "p0ison-r00t". Este hacker provocó un cambio de aspecto al subdominio de la NASA.  El subdominio atacado ejecutaba una aplicación web con Flash, lo cual permitía a los visitantes crear videos del espacio usando sus rostros. El atacante logró publicar un mensaje en el sitio.

Pero la NASA no es la única institución de gran poder que el año pasado sucumbió al poder de los hackers, los cuales muchas veces pretenden demostrar la poca seguridad de los sitios webs. Aquí van 6 ejemplos:

1. Seguimos en Estados Unidos: Tras el cierre de Megaupload y el consiguiente enfado de buena parte de la comunidad online, el año 2012 empezaba con el ataque emprendido por Anonymous contra la web del Departamento de Justicia de Estados Unidos, el FBI y la productora Universal Music, entre otros. Los hackers entraron en los servidores  y robaron información sin que los responsables de la seguridad de los datos se percataran de la intrusión.

2. ¿Y la página web del Pentágono?, ¿es segura? Pues tampoco lo parece. Si en 2011, un fanático de la corrección sintáctica ya había violado las contraseñas de seguridad de la web simplemente para corregir una coma mal puesta, el año pasado el ataque fue algo más completo: El colectivo de hackers Wikiboat publicó información privada que al parecer habían robado de la página web oficial del Departamento de Defensa de los Estados Unidos.

3. El Ministerio de Defensa de Reino Unido fue objeto de un ataque a cargo de un grupo llamado Null Hacking Crew. El ataque se realizó mediante el método de inyección SQL. Al parecer, el sistema de la página no resultaba demasiado seguro ya que guardaba las contraseñas en un texto plano (denominado robots.txt), fichero del que se conoce públicamente su vulnerabilidad y que es fácilmente accesible por cualquier técnico de sistemas con algo de experiencia.

4. En mayo, el colectivo GhostShell atacó las webs de 100 universidades de entre las más prestigiosas del mundo (Harvard, Michigan o Stanford entre ellas) simplemente para demostrar la vulnerabilidad de sus webs y la cantidad de agujeros de seguridad fácilmente detectables y atacables. Los hackers robaron 120.000 registros de los servidores, que incluían nombres, direcciones particulares, credenciales y números de teléfono.

5. Mientras el Gobierno sirio trata de controlar con mano de hierro a su ciudadanía crítica deja más vulnerabilidades en sus servidores. Prueba de ello es la facilidad con la que el grupo de hackers Anonymous hackeó el correo electrónico del presidente, Bashar al-Assad, y reveló su sorprendente contraseña: 123456 (que por lo visto es bastante fracuente).  Además, Anonymous también había hackeado otras webs del gobierno, que fueron sustituidas por un mapa con las cifras de los ciudadanos fallecidos durante las protestas contra el régimen.

6. Facebook, Twitter y Linkedin. Con un millón, medio millón y 200.000 usuarios cada una, las redes sociales mayoritarias son, cómo no, un precisado objeto de deseo para los hackers. Las tres han padecido problemas de seguridad informática este año.

Y como para 2013 se prevé un aumento del malware, redoblamos desde el blog de Security Guardian nuestro esfuerzo por concienciar a empresarios y directivos de las empresas de la necesidad de garantizar la seguridad de su web, la puerta de entrada de su negocio. Una web debe estar convenientemente auditada, con los agujeros de seguridad detectados y parcheados y sin vulnerabilidades web que faciliten el trabajo de los atacantes. Para ello, es clave realizar un escaneo de vulnerabilidades que permita corregirlas.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian