Ads 468x60px

Featured Posts

miércoles, 15 de octubre de 2014

¿Qué hacer cuando un equipo ha sido comprometido?



Esto más que una entrada es una pequeña reflexión mía, y además me gustaría que me dieseis vuestra opinión profesional (en equipos en empresas).
Creo que la pregunta está bastante clara, ¿qué hacemos si nos encontramos con un equipo comprometido dentro de la empresa?

Lógicamente tendríamos que puntualizar más, porque esto podría dar lugar a una conversación de esas de “caña y pipas”, ya que no es lo mismo que encontremos en el equipo un adware, una barra de esas tan chulas que se nos ponen en el navegador o algo por el estilo, que encontrarnos con algún malware algo más avanzado (puñetero).




Supongamos que nuestro sistema de detección de intrusos favorito nos manda un log en el que vemos que un malware se nos ha colado en un equipo, de supongamos un comercial que tiene acceso a datos sensibles de clientes y proveedores, comprometiendo dicho equipo y pudiendo llegar a tener acceso a dicho datos.

Bien, sin entrar en demasiados debates y por lo que estoy pudiendo ver (en los años que llevo trabajando), las “reacciones”  más habituales son:

1. Hemos pasado el “antivirus de turno” y el equipo está limpio.
2. Visto el impacto del ataque, hemos decidido optar por formatear el equipo y cargar de nuevo la imagen inicial.

Sinceramente, lo que yo he visto en estos  más de 10 años de trabajo, en el 98% de los casos optan por la opción número 1, es decir pasan un antivirus –en la mayoría de los casos gratuito- (sin entrar en la polémica de si hacen o no lo mismo que los de pago, me refiero a que tienen un antivirus en el equipo local, no una solución de servidor, con lo que ello conlleva, sin actualizar, sin análisis programado cada X horas/días/semanas y en algunos casos hasta un Eset pirata [guiño guiño]) y se quedan tan tranquilos. Ni siquiera se molestan en pasar un par de ellos online (que los hay) y obtener “una segunda opinión”.




Yo particularmente, y en el caso del malware algo “puñetero” que puede tener acceso a datos sensibles, no me lo pensaría, formateo el equipo, cargo la imagen con el SO y sus programas y “me quito de problemas”.

Si, ya sé que hay malware que se queda en el arranque y que por mucho que formatees sigue ahí, pero como dije al principio, hablamos de un malware “normalito” no de cosas más avanzadas. Y diréis, para eso le paso el antivirus y a correr (como dice alguien por ahí, que no recuerdo, formatear es de cobardes), y si, efectivamente es una opción “valida” pero quien te dice que no se replica, que no se inyecta en algún otro proceso o que incluso no está evadiendo el antivirus.

Pues esta es la eterna pregunta y la que me gustaría que me contestaseis en la siguiente encuesta, que son 10 segundos.
*Recordar que no estamos hablando de malware super-sofisticado, sino de algo tipo troyano bancario Citadel (Variante de Zeus) por poner otro ejemplo. 

Más información:




Roberto García (@1GbDeInfo)


domingo, 5 de octubre de 2014

Navaja Negra IV edición















Este año no quiero hablar de las charlas, unas han sido buenas, otras más bien malas (siempre desde mi punto de vista) y a otras no me he molestado ni en ir.

Lo que si diré es que los talleres me han gustado bastante y sobre todo me gustaría destacar la calidad humana y la organización que ha sido de 11.

Normalmente no me gusta dar nombres por eso de no dejarte a nadie, pero esta vez voy a intentar recordarlos a todos. 

viernes, 19 de septiembre de 2014

Pequeña despedida.



Bueno, ha llegado el momento de hacer un  parón, no porque no quiera seguir escribiendo, en este caso, porque no me da la vida.

Como casi todos ya sabéis, he comenzado a trabajar recientemente en InnotecSystem. Además estoy haciendo tres cursos a la vez y tengo ocupado de Lunes a Domingo, con lo que me es imposible sacar tiempo físico para escribir. Además los Viernes tengo que ir a la radio para grabar el programa de Ventanas a la Red Junto con Pilar Movilla, donde en breve podréis escuchar los programas. A esto sumarle algún rato para el proyecto X1Sonrisa, que aunque poco, también me quita tiempo.

Esto no es una despedida definitiva ni mucho menos, es solo que no voy a tener tiempo ni para respirar. 

De momento, hasta el año que viene dudo que pueda escribir algún artículo, pero siempre podréis releer lo que ya está publicado.

Bueno espero que no bajen mucho las visitas, seguid leyéndome que estoy cerca de las 300.000 visitas!!


Roberto García (@1GbDeInfo)


miércoles, 17 de septiembre de 2014

Hardening de Windows [casi]-automatico




De esto que te pones a buscar algo concreto y terminas topándote con otra cosa, que no era lo que buscabas, pero que te alegras de encontrar.

Pues eso es lo que me ha pasado con Microsotf Security Compliance Manager Setup, SCMS para los amigos. La version 3.0 tiene soporte para IE 10, Windows 8 o 2012 Server y permite administrar cambios de configuración y reducir las amenazas de seguridad, según la propia Microsoft.

Lo único que necesitas para usar este producto de la gente de Redmond  es el paquete en sí, que puedes descargar de aquí,  y el .Net Framework 4.0 (ojo, el 4! el 4.5 no le gusta, que yo lo tenia instalado y no vale, tiene que ser el 4) que puedes descargar desde aquí. El luego se encarga de instalar la versión Express de SQL.

Además, y para goce del personal, el instalador es siguiente, siguiente, siguiente...

lunes, 15 de septiembre de 2014

Mini-Script para automatizar un backup





Bueno, como lo prometido es deuda, he conseguido hacer un pequeño script (que me perdonen los puristas de Linux xD) que automatiza la copia de seguridad que vimos como se hacía el otro día.

Me ha llevado casi una hora dar con ello (suponiendo que es la primera vez que hago un script en linux) pero lo importante es que no me he rendido y he sido capaz jeje.

Vamos al lío. Recordemos que habíamos hecho un backup manual de un fichero, pero claro, eso no nos vale de mucho ni siquiera para hacerlo en casa. Así que, vamos a teclear un poco.

Os dejo el script en sí y ahora vamos completando la información.

viernes, 12 de septiembre de 2014

Toma de Contacto con Burpsuite. Sacando claves




Vamos a ver la importancia de usar HTTPs una vez más. En este caso vamos a ver la problemática de usar webmail sin que la conexión esté cifrada. 
Ya me lo dijo una vez Lorenzo Martínez, no me fío nada de los webmails, y que razón tenía.

Bueno, como venimos viendo Burp en algunas entradas, vamos a usarlo para ver que pasa con el mencionado webmail.

Abrimos Burp y nos vamos a la pestaña de Proxy > Intercept y lo ponemos en ON (si no lo estaba ya). Bien, lo siguiente es irse al navegador e introducir la dirección del webmail en cuestión.

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.
 
Blogger Templates