Hoy me encontré con una noticia fea, que me puso de mala leche, cuando ves lo vulnerable que somos los navegantes de Internet, que te roben tu clave con un simple enlace y un bug de DOM te deje el trasero expuesto….
Claramente nadie debe hacer clic en un enlace web dentro de un mail aunque sea un amigo, siempre hay que preguntar no ¿…?
Shahin Ramezany publico este vídeo mostrando paso a paso como logro hacerse con las contraseñas, espero que solo sea con Yahoo, pero la verdad me da que pensar…. Que no…
Herramientas que aparecen en el video.
Burp Suite Free http://goo.gl/jOmQG
Notepad++ (hay que tenerlo siempre este!) http://goo.gl/gKR5C
Aunque esto es un poco viejo, siempre se puede usar.
El otro día descargue un CMS que me agrada mucho y probando los témplate que ofrecía me descarte uno que me agrado.
Aunque era por ver como era su estructura en CSS y diagramación de PHP me encontré con una imagen demo del mismo, la cual para mi gusto pesaba un poco mucho, por ende la abrí con un editor y me encontré una agradable web metida dentro y hasta el Adsense del desarrollador del mismo XD.
Increíble, igual poner esto sin hacer una revisión es un poco inseguro, pero son errores que todos podemos cometer.
Pues nada encontré un video buscando sobre el tema donde lo explican de un modo muy educativo.
Dura aproximadamente 6 minutos, me emociono este vídeo, me recordó lo humano que somos, que hoy en día con tanta tecnología y tan lejos de la tierra que me vio nacer, rodeado de naturaleza pura, La Patagonia…
Bueno sin mas preámbulos les dejo el vídeo para poderlo disfrutar de EdisProduction
El pasado 15 de abril se realizo la jornada VII de la Owasp Español en Barcelona. Este fantástico evento sobre seguridad, donde las 4 ponencias más la mesa redonda han estado muy bien, y se hablo de un con una gran calidad sobre los temas tratados.
La presentación de la OWASP, vale la pena mirarla para entender a esta asociación ver los fines que busca y explica cómo hacerse socio para ayudarla a seguir adelante.
En esta ponencia se presentaron:
Adrián Pastor.-
La primera ponencia en sí, para mi gusto no fue la que mas resaltó, pero la idea presentada no fue del todo mala, en ella intentaban encontrar un vector de medición de ataques, poniendo un webserver con Xampp y sólo la IP, para ver los ataques que se realizan al azar, y se habló de una vulnerabilidad, en la cual no estoy muy de acuerdo que lo sea, dentro Xampp está el servicio de Webdav, que trae una clave por default, la cual se debería cambiar; es un proceso de mala configuración e igualmente poner un Xampp como servidor final no es la mejor idea. Pero ese ya es otro tema.La idea me gustó para tener un centro de medida de la cantidad de ataques que tienen, pero eso sólo con ver 5 webserver distintos con dominios relevantes, las cantidad de robot que tiran peticiones ssh para probar usuarios son enormes.
Adrián Pastor. Web Attacks In The Wild: An overview of last year’s probes
Principal Security Consultant. Corsaire.La mayoría de los ataques web “in the wild” no son ataques dirigidos. En este tipo de intentos de intrusión, el atacante no está interesado en un sistema u organización en particular. En lugar de esto, el objetivo del atacante es comprometer cuanto más servidores web sea posible de forma automatizada en el menor tiempo posible. Generalmente esto se logra mediante la explotación de bugs críticos presentes en aplicaciones web de amplia difusión. Revisaremos los resultados de la investigación procedentes de los ataques contra un servidor web sin publicar (es decir, no detectable a través de motores de búsqueda) registrados en el último año.
Raúl Siles.-
La segunda ponencia, creo que una de las mejores (siempre son buenas las de Raúl), y el tema tocado es muy importante se habló con profundidad y un tecnicismo excelente. Fijaciones de sesiones, esto no es robo de la sesión de un usuario, si no hacer que el usuario tenga la sesión que yo desee y la autentique por mi! Se muestran muchas maneras posibles y los entornos donde esto puede ocurrir, para los que manejen tiendas virtuales (si se disponen a ver este video recomiendo previamente tomarse una tila, luego ya mirarlo más tranquilo! )
Raúl Siles. SAP: Session (Fixation) Attacks and Protections (in Web Applications)
Founder & Senior Security Analyst. Taddong.Los ataques de fijación de sesión, pese a ser conocidos desde el año 2002, todavía afectan hoy en día a aplicaciones web basadas en proyectos de código abierto, servidores de aplicación comerciales ampliamente utilizados, y aplicaciones de negocio críticas para muchas organizaciones a nivel mundial. En concreto, la exposición del interfaz web de las plataformas de negocio en Internet y en redes internas, hacen que esta vulnerabilidad actúe de punto de entrada para el acceso no autorizado a información confidencial y crítica, potencial objetivo de ataques dirigidos, criminales y de espionaje industrial.
Marc Segarra López.-
La tercera ponencia en si habló de un Estándar de seguridad para el uso de las tarjetas de créditos, Cosa que recientemente ha afectado a empresas de consolas de videojuegos. Es muy interesante seguir el protocolo de actuación que sugieren a la hora de trabajar y almacenar datos de clientes. La Certificación PA DSS debería ser lo más común como base para todas las tiendas que administran ellas las tarjetas de crédito.
Marc Segarra López.
Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago
Consultor en Seguridad. Internet Security Auditors.Para garantizar los mecanismos de seguridad en las aplicaciones que gestionan los datos de titulares de tarjetas de pago, en los que el riesgo de fraude es muy alto y para los que existen numerosas redes ilegales que aprovechan estos datos para un uso y beneficio ilegítimo, se hace necesario homologar las aplicaciones de pago bajo el estándar PA-DSS. Esta ponencia presentará el proceso que implica una certificación en PA DSS y como metodologías como la OWASP facilitan gran parte del cumplimiento requierido por esta norma.
Carles Fragoso Mariscal.-
La Cuarta ponencia, otra que resalt´0 por su gran calidad, se habló de la cantidad de ataques web y las formas de actuación que se deberían llevar a cabo, se mostro lo preparado que está este departamento de seguridad “El Centre de Seguretat de la Informació de Catalunya (CESICAT)”
Es muy útil estas más preparado a los ataques diarios hacia los administradores web. Recomiendo verla!
La mesa redonda.
Estuvo muy bien, de entrada los usuarios tienen la culpa y ni hablemos de los malvados programadores! =P
Pero realmente creo que las reflexiones que se llevaron a cabo son para tener en cuenta hacia dónde va el futuro y la seguridad.
Bueno espero que les allá sido de utilidad todo mi esfuerzo de a ver grabado casi 6 horas y editado todo esto en semana santa!
Futura-mente ya incorporare alguna cámara HD para tener mas calidad que la DV… y olvidarme del proceso de bajar las cintas!
