¿Quieres contratar los servicios de pentesting (pruebas de seguridad) y no sabes por dónde empezar? No eres el único. Al menos en México (y creo que es una realidad en otros países) para contratar estos servicios te basas en “renombre” o “prestigio” de una empresa, o porque la googleaste y su página se ve “profesional” o bien porque el primo del amigo te la recomendó: “Esos dudes están re-picudos!”. No te sientas mal. Seleccionar a una buena empresa de pentesting es un arte (así como el mismo pentest). No hay un catálogo; un comparativo completo de un tercero que haya hecho un análisis y te haga una recomendación medianamente objetiva.

¿Cómo seleccionas a una empresa de pentest para que te venga a hacer una prueba de seguridad?  Read more

Este año DefCon 19  sufrió de varios cambios, había más gente de lo normal (este año rompió record de asistencia con más de 10,000 hackers), por supuesto hubo muchos agentes en el evento,  gente del departamento de seguridad nacional de EEUU monitorizando las conferencias y cuidando los expositores no soltarán información de más, además hubo cambio de sede al hotel Rio.

Read more

Rebeldes y justicieros. LulzSec y Anonymous. Tienen un no sé qué que nos atrae. ¿Es porque son malos? ¿O porque se salen con la suya? Tal vez porque se burlan de las autoridades como niños caprichosos y juguetones; sí, de esos que te sacan la lengua desde su auto impunemente.

Si no estás muy al tanto de quién es LulzSec y Anonymous aquí un ayuda.

En fin. He visto en diversos blogs y cuentas de Twitter tímidas expresiones de apoyo a estos grupos de crackers. Por ejemplo unos re-tuitean los ingeniosos tuits de LulzSec; otros más echan porras en sus blogs. Y claro, es que son cool. ¿Y lo son? ¿Cuáles son las posiciones que se están tomando en torno a las acciones de estos grupos?

Read more

Muchas veces sucede que las empresas hacen Hardening a sus servidores, los protegen con dispositivos y con software de seguridad, como Firewalls, IDS, IPS, Anti-virus, Anti-Spyware, registran cualquier cambio en el sistema, inclusive en la red, restringen los servicios, utilizan contraseñas fuertes, etc.

Pero, ¿Qué hay de la seguridad física de dichos equipos?, ¿Se encuentran en un lugar restringido, exclusivo y aislado? ¿Las unidades para discos extraíbles está restringida?

Algunas de las pruebas que se realizan en Hacking Ético son precisamente el simular la intrusión física a la infraestructura de la organización evaluada y también se puede simular el robo de algún equipo clave, que contenga información crítica.
Read more

Una pregunta muy común que probablemente todo experto en Seguridad ha escuchado es “¿En qué sistemas puedo practicar para hacer pruebas o ataques?”

Basandonos en esto, el equipo de Metasploitable creó una maquina virtual con vulnerabilidades para que cualquiera pudiera usarla para fines de penetration test.

Metasploitable es un servidor Linux Ubuntu 8.04 con varias vulnerabilidades de todo tipo para que probemos desde sencillos análisis de red hasta ataques a bases de datos.

Descarga Metasploitable.

Leer más

¿Alguna vez se imaginaron ver a Sonic, la mascota de Sega en un juego para una consola de Nintendo? Yo no y cuando paso allá por el 2002 fue una gran sorpresa y un acontecimiento que de cierta manera cambio a la industria de los videojuegos, mostrándonos que los grandes también pueden caer y que para sobrevivir están dispuestos a muchas cosas.

¿Alguna vez se imaginaron a Android corriendo en un iPhone? Si son fanboys de la manzana seguro que no y ya están pensando en la demanda, en mi caso si lo imagine porque los tiempos han cambiado y ya no es necesario que las empresas nos entreguen el producto que imaginamos o queremos, ahora es la misma comunidad de usuarios la que usando las herramientas disponibles, ajusta los productos a sus necesidades.

El iPhone es actualmente uno de los productos estrella de Apple, seguido salen teléfonos autodenominados ‘iPhone Killers’ con la misión de quitarle la supremacía en ventas (en hardware hay mejores equipos) y que al final no lo logran (el Nexus One no se le acercó ni un poco). Por otro lado Android de Google es ya el SO más vendido y que día a día gana usuarios debido a que permite un control casi total del equipo.

Y entonces, ¿Por qué no tener un equipo que los combine? Dejando de lado que Apple y Google tienen políticas totalmente distintas y que difícilmente lo veremos de manera oficial, era cuestión de tiempo para que la comunidad hiciera un port de Android para iPhone, y si alguien quiere instalarlo aquí les dejo un tutorial creado por los usuarios de Lifehacker, el cual es realmente sencillo:

Antes de comenzar es necesario que tengan en cuenta los siguientes puntos:

Read more

Desde el dia 20 de abril la red de Sony PSN quedó fuera de servicio debido (a una primera instancia) a mantenimiento, sin embargo dias anteriores a esto habían presentado problemas con su servicio en linea donde Anonymous asomaba su bandera. Hackear la PSN es equivalente a hackear Amazon o cualquier otra gran tienda que almacene datos de los usuarios.

Para el segundo dia del apagón no se tenia conocimiento de lo que estaba pasando con el servicio online, hasta que personal de Sony mostro un comunicado donde nuevamente indicaban que el fallo se estaba presentando por un ataque de un personal ajeno a la empresa y que se encontraban en atención a resolver esto.

El tiempo que se tuvo fuera el servicio fue aprovechado por Sony para rediseñar su seguridad online con el servicio de PSN y Qriocity. Aqui el mensaje:

Read more

Probablemente no hayamos escuchado de Barracuda Networks. Es un fabricante de productos de seguridad: anti-spam, web application firewall y VPN entre otras soluciones. Siguiendo la tendencia de las últimas semanas (me refiero a los hackeos de compañías relacionadas con seguridad como HBGary, RSA, Comodo, Ashampoo, etc.), el sitio web de esta empresa fue hackeado.

Una precisión: el hackeo no fue tal cual al sitio web de la empresa, sino a la base de datos conectada al sitio. Este tipo de penetraciones a las bases de datos las estamos viendo cada vez más seguido desgraciadamente. Lo que llama la atención es que Barracuda es una empresa de seguridad cuyo sitio web estaba protegido precisamente con uno de sus propios productos WAF (Barracuda Web Application Firewall). Los atacantes lograron extraer información de las bases de datos como nombres, correos de clientes, partners y empleados. Tal vez no fueron datos de altísima importancia, pero vaya que el asunto resultó vergonzoso para la compañía.

La historia resumida es que apagaron su producto de seguridad por cuestiones de mantenimiento por aproximadamente un día. Se podrán imaginar el resto. Quisiera atraer su atención a los siguientes puntos:

Scanners automáticos. Aunque no lo creamos, existen scanners de atacantes que automáticamente “revisan” los sitios web en Internet. Una de estas herramientas fue la que detectó que el sitio web estaba desnudo. Dejar nuestro web pelón aunque sea por unos minutos (y peor.. algunas horas) puede tener consecuencias. Y sorpresa: esto sucede automáticamente.

Read more