domingo, 28 de agosto de 2016

Metodologías de desarrollo seguro por @dsespitia y @crisborghe

Hoy les quiero compartir un nuevo Webcast parte de la segunda temporada de ElevenPaths Talks. Para esta sesión nos encontramos con Diego Espitia @dsespitia junto a Cristian Borghello @crisborghe comentando sobre Metodologías de Desarrollo Seguro (Secure-SDLC).

Figura 1: ElevenPaths Taks

En el mercado del desarrollo del software es muy común hablar de Ciclo de Vida del Desarrollo del Software (o por sus siglas en Ingles SDLC), sin embargo en dichos procesos normalmente no se consideran las cuestiones de seguridad.   Hace ya unos cuantos años en el mercado se introdujo el concepto de Secure-SDLC, es decir que se incluyó sobre los modelos conceptuales la implementación de distintos tipos de análisis de seguridad en cada una de las etapas de un proyecto que involucre el desarrollo y el mantenimiento de una aplicación.


Saludos!

lunes, 22 de agosto de 2016

Google Hacking: Tu Infraestructura desde #Cacti

Las herramientas de monitoreo son indispensables en todas las infraestructuras IT, donde claramente, están diseñadas para brindar información precisa y medidas.

Figura 1: Infraestructura IT

Para este tipo de tareas, existe una gran cantidad de soluciones, en algunos casos basados en Software Libre y en otros con algún costo asociado, pero siempre buscando satisfacer las necesidades a los administradores.

Zabbix, Cacti, NagiosMRTG son apenas ejemplo de una gran cantidad de herramientas para lograr monitorear y tratar de llevar adelante un control en el tráfico de la red.

En estos días, jugando con algunas querys en Google, me encontré con un par de gráficos generados por Network Weathermap

Network Weathermap


Figura 2: Ejemplo de implementación de Network Weathermap

Es una herramienta que crea gráficos de la infraestructura de conexiones con la característica visual de saber las estadísticas en relación a colores sobre el tráfico actual.

Con lo cuál, además de tener presente sobre el gráfico cada componente, es posible visualizar si existe transferencia de información y su volúmen.

Otra característica de Network Weathermap es que tiene la capacidad de integrarlo con las otras herramientas y consolas de monitoreo para contar con soluciones mas robustas.

Hasta aquí todo va genial. El problema surge cuando descuidamos las implementaciones y una vez mas la infraestructura puede llegar a quedar expuesta indexada en Google

Google Hacking Network Weathermap

Sobre la integración de Network Weathermap y Cacti, existe una interesante cantidad de descuidos que pueden ser descubiertos por medio de la siguiente búsqueda en Google.

inurl:"/weathermap/weathermap-cacti-plugin.php"

Figura 3: Búsqueda en Google del plugin Weathermap para Cacti

Una vez más, las ideas son muy interesante y lograr una integración siempre es el camino correo, pero lo que no se nos tiene que pasar por alto es de implementar mecanismos básicos de seguridad

Saludos!

viernes, 12 de agosto de 2016

Google Hacking: Veo tu #BandwidthD

En estos días, me tocó iniciar un nuevo proyecto para administrar algunos servidores y buscando los servicios incorporados me topé con un interesante proyecto de monitoreo llamado BandwidthD.

Figura 1: Logo BandwidthD

BandwidthD como proyecto es genial, ya que registra el ancho de banda de una sub red mostrando reportes generales y de direcciones IP en particular en un formato HTML durante lapsos de tiempo difinidos.

Por otro lado, BandwidthD tiene la capacidad de identificar por medio de diferentes colores el tráfico que corresponde a los protocolos HTTP, TCP, UDP, ICMP, VPN y P2P.

El desafío es consultar a Google cuántos administradores agregan BandwidthD a su servidores y están exponiendo información interna de sus compañías.

Google Hacking BandwidthD


intitle:"bandwidthd" "programmed by david hinkle, commissioned by derbytech wireless networking."

Figura 2: Resultado del Google Hacking

La verdad que otra interesante fuente que expone información muy sensible, desde las sub redes privadas, hasta los nodos vivos dentro de la red, donde si no se tiene algún esquema de DMZ, se podría determinar mediante el uso del sentido común, cuales son los servidores, gateway, etc.

Mejor a estar atentos y agregar seguridad a este tipo de reportes para disminuir la exposición e la información.

Saludos!

martes, 9 de agosto de 2016

Diferencias entre Análisis de Infraestructura, Análisis Web y Code Review por @dsespitia

Hoy les quiero compartir una bonita e interesante charla de Diego Espitia @dsespitia del 4 de Agosto para la segunda temporada de ElevenPaths Talk.

Figura 1: ElevenPaths Talks

Aquí muestra de una forma muy simple de comprender las diferencias y los detalles que existen entre los Análisis de Infraestructura, los análisis de seguridad web y finalmente Code Review.

A menudo en los procesos de licitaciones o RFP nos encontramos con solicitudes un tanto confusas en cuanto los requerimientos técnicos por las confusiones en las bases de los términos más comúnmente utilizados en el mundo de la seguridad de la información. Es por ello que en este webcast hemos decido abordar los temas de base para ayudar a comprender conceptualmente cada uno de los términos referidos a tipos de análisis de seguridad permitiendo incluso conocer los procesos que involucran.

Si bien el día de la presentación no pude estar conectado para interactuar con Diego, afortunadamente ya se encuentra el video inmortalizado en el canal de YouTube para ElevenPaths Talk.


Saludos!

Entradas populares