Ni ceros ni unos ...

Ayer estuvimos jugando un poco con SHODAN y me parece interesante dejar aquí plasmados algunos resultados bastante curiosos de las pruebas que fuimos haciendo. Para empezar, ¿qué es SHODAN? Es un buscador, para dar una explicación rápida diremos que en vez de buscar por contenidos como hace Google busca máquinas(servidores, routers, etc) que ejecuten el software que le especifiquemos, además permite filtrar los resultados por otros parámetros como países, puertos o versiones, en este pdf lo explican con más detalle. Un buen punto de partida para familiarizarse con esta aplicación web son las búsquedas populares , entre las que podemos encontrar algunas con resultados muy sorprendentes. Después de un rato trasteando se nos ocurrió buscar routers, ya que con esta lista de contraseñas por defecto (o otra de las muchas que hay por ahí) para cada modelo y un poco de scripting se podrían hacer maravillas. A continuación dejo algunos ejemplos de búsquedas por modelo de router: http:/

Uno de los primeros pasos que debe seguir la entidad para adaptarse a la norma ISO 27001 es realizar el inventario de activos que contendrá todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI . En un principio puede parecer un poco abrumador para un principiante(como yo) por la enorme cantidad de activos que se te van ocurriendo por eso decidí empezar por clasificarlos de alguna forma, de entre las múltiples maneras que me encontré elijo la definida por los expertos del foro ISO27k ya que me parece la más completa, mostrando ejemplos de cada tipo y es válida para entidades de muy distinta naturaleza. Éste podría ser un buen punto para comenzar siempre teniendo en cuenta lo que nos aconsejan también en ese foro: "Debido a que los activos son algo cambiante, incluso si pudieras cubrir absolutamente todo lo que hay hoy, mañana la situación sería un poco diferente y más en unas semanas, meses o años. Así que

Hace unos días asistí al webcast sobre la nueva versión de la FOCA de la gente de Informática 64 , aprovecho para darles las gracias desde aquí por la charla que me sirvió para resolver algunas dudas que me surgieron cuando la probé. No voy a explicar los problemas asociados a los metadatos en los documentos, dejo este enlace donde lo explica Chema Alonso para el caso de los formatos de Microsoft Office. Un resumen rápido: todo documento tiene asociada una información relativa a sí mismo y hay herramientas que permiten extraerlos, pero también las hay para limpiarlos, el OOMetaExtractor es GPL :) y los elimina de los tipos de archivo del OpenOffice. Al terminar el webcast me puse a hacer unas pruebas y por curiosidad se me ocurrió probar con la dirección de la web de mi ayuntamiento y como podía suponer nadie limpia los metadatos de los documentos publicados. A continuación comprobé que en otros ayuntamientos pasaba lo mismo, así como en la web de A Xunta de G

Mientras me documentaba sobre la serie ISO 27000 de cara a mi proyecto de fin de carrera se me ocurrió si habría alguna lista con los riesgos o disconformidades más comunes encontrados en las auditorías, algo similar al OWASP Top 10 . Me quedo con éste articulo publicado por la gente del foro ISO27k en colaboración con CISSPForum que, a pesar de ser del 2008, me parece la mejor elección ya que la mayoría de listas de este tipo abordan el tema desde el prisma de la seguridad informática más que desde él de la seguridad de la información y, en este caso, los autores del artículo son auditores con una amplia trayectoria profesional. El objetivo de este artículo es familiarizarme con muchos de los problemas que me voy a encontrar durante una auditoría, intentaré traducirlo añadiendo algunos ejemplos o comentarios que faciliten su comprensión con un vocabulario más accesible a todo el mundo ya que las metodologías suelen utilizar un lenguaje diferente al que estamos acostumbrados.

En el artículo anterior configuré el entorno necesario para montar el punto de acceso ficticio y dar acceso a las víctimas a Internet, ahora paso a la segunda parte de este ataque que es lanzar el Karmetasploit. Antes de nada, como necesita una base de datos, la forma más sencilla de configurarlo(según sus cradores): gem install activerecord sqlite3-ruby. Ahora arranco Metasploit con el script karma.rc : iptables -t nat -A PREROUTING -i at0 -j REDIRECT & msfconsole -r karma.rc >> captureKarma.txt - El primero es necesario porque en la página del proyecto aconsejan forzar que siempre atienda el punto de acceso las peticiones DNS y el cliente no use las que tiene cacheadas. - Al arrancar msfconsole hay un error al principio porque dice que el plugin de db_sqlite3 está deprecated , hay que eliminar la primera línea de karma.rc ya que ahora (con Backtrack y Metasploit actualizados) lo carga directamente al iniciar el framework, de hecho vemos que crea la ba