Saltar al contenido

Seguridad

¿Es suficientemente fuerte mi password?

Los que me conocen, saben que doy bastante importancia a la seguridad y a menudo, una de las primeras lineas de defensa de nuestra infraestructura es la password que protege una cuenta de usuario.

Existen multitud de recomendaciones para conseguir contraseñas seguras:

  • Usar mayúsculas y minúsculas
  • Intercalar signos de puntuación y caracteres alfanuméricos
  • Evitar palabras de diccionario
  • Longitud adecuada, etc., etc.

 

Pero, ¿realmente como de fuerte/segura es mi password?.

Hay que decir que esto depende de muchos factores, pero aquí os dejo una tabla que puede daros una idea de cuanto se tardaría en “romper” una contraseña mediante fuerza bruta

Complejidad_Passwpor supuesto cada día los ordenadores son más potentes y estos tiempos tenderán a reducirse.

 

y vosotr@s, ¿cuanto tardaría en caer vuestra pass? 😉

AWS y RackSpace obligados a reiniciar parte de sus sitemas por un problema de seguridad en XEN

Amazon y RackSpace se han visto obligadas a reiniciar parte de su infraestructura (y van 2 este año), por un problema de seguridad den el Hypervisor de XEN, aquí podéis ver los Security Advisories y aquí la nota de RackSpace , los reinicios se hicieron de manera controlada e intentando diferenciar por regiones, en cualquier caso se trata de un fallo importante (otro) alrededor de un Hypervisor que cada vez se encuentra más acorralado por el avance de alternativas libres como KVM y de las siempre fuertes soluciones comerciales.

xen-logo

CCN-STIC-823 – Seguridad en Entornos Cloud, Publicado el primer borrador

ccn

 

 

 

 

El CCN acaba de liberar el primer borrador de la Guía “CCN-STIC-823 Seguridad en entornos Cloud”, está guía dentro de la sería 800 (adecuación al ENS) se puede considerar de recomendable lectura para toda las personas definan o trabajen con arquitecturas de sistemas tipo Cloud y obligada si trabajáis o dais servicios a AAPP en España.

El original de la guía podéis consultarlo aquí.

CCN-STIC-823-Seguridad_Cloud

Al igual que el resto de guías de la serie 800, no esperéis un manual técnico, sino más bien un documento de referencia que nos guiará a través de las distintas pasos y consideraciones a tener en cuenta (en este caso, para prestar nuestro servicio desde el Cloud).

Entre los aspectos que cubre podemos encontrar:

  • Gestión de Riesgos.
  • Aspectos relativos a la seguridad de la información.
  • ANS
  • Seguimiento del servicio.

Es una guía de buen nivel y que llega en el momento adecuado, por el auge que esta teniendo el Cloud en estos momentos y porque complementa la “CCN-STIC-811 Interconexión en el ENS”  en lo referente a arquitectura de sistemas e interconexión.

Como muchos ya sabréis el ENS (Esquema Nacional de Seguridad) es uno de lo temas sobre los que escribo a menudo, por la importancia del cambio de mentalidad que supone este en las AAPP y por los movimientos “técnicos” que la adecuación a el, van a ocasionar en los diferentes organismos.

Además tuve la oportunidad de colaborar como coautor de 2 de estas guías (CCN-STIC-811 Interconexión en el ENS y CCN-STIC-818- “Herramientas de seguridad en el ENS”), ya veis… hoy dejan escribir a cualquiera ;-).

Global Botnet Map, de Trend Micro

Trend Micro ha presentado en su página web un mapa interactivo que representa la situación de las Botnets a nivel mundial, en base a la información de que disponen.

IF

 

la información aunque podría ser más completa (esperemos que la página evolucione con el tiempo) es interesante y muy visual.

Entre la información que podemos encontrar esta:

  • Las Top Ten urls maliciosas.
  • Los Tope Ten dominios maliciosos.
  • Las Top Ten vulnerabilidades.

como podéis ver, les encantan las listas de 10 elementos ;-).

 

Os dejo alguna captura más de la página.

botnet4

Botnet5

 

Redes Fast Flux

Las redes Fast Flux, o redes de flujo rápido en el idioma de Cervantes, es una técnica utilizada por redes bot para ocultar su origen y dificultar su desactivación.

El origen, las redes bot (botnets):

En esencia una red bot es un conjunto de equipos (pc’s), infectados por algún tipo de malware que permite a un tercero controlarlos sin el conocimiento del usuario. A los equipos infectados se les suele llamar “zombies”, porque permanecen en estado latente hasta que reciben una orden de su controlador para hacer algo, que generalmente suele ser enviar spam, phishing o realizar ataques de denegación de servicio DDOS.

Para desactivar una red bot hay 2 métodos, el primero de ellos es eliminar el malware de todos los equipos infectados, lo cual es una tarea faraónica y poco realista y el segundo mucho más razonable (que no fácil,) desactivar el controlador de la red bot, de esta manera los equipos seguirán infectados por el malware, pero no habrá nadie para explotarlo.

Como podéis imaginar, las organizaciones criminales que explotan estas redes, hacen lo imposible para dificultar la localización de los controladores y su desactivación.

Fast Flux, el siguiente paso:

Imaginad que la organización criminal “soplas malignos” controla una red de pc’s zombies, que decide utilizar para albergar un servicio web de phishing a una importante entidad bancaria, lógicamente la entidad bancaria intentara localizar las direcciones que alojan la web de phishing e intentará eliminarlas, pero… ¿qué ocurre si el servicio se mueve rápidamente en cientos o miles de equipos?, equipos que además estarán en distintos países…. pues que la labor de desactivación del sitio se ha complicado mucho.

 

 

<imagen original en proyecto honeynet, puedes verla aquí>

La mejor manera de desactivar esta amenaza sería eliminar a los controladores de la red, que esperemos no estén también en la red Fast Flux ;-).

¿Cómo lo hacen?

Pues muy sencillo, introduciendo cambios a nivel de DNS en un dominio con TTL muy bajo, de manera que cada vez que hagamos una consulta nos contesten con una dirección diferente.

Fast Flux, entramos en materia:

Ahora que sabemos en que consiste Fast Flux os diré que ademas existen dos tipos, simple y doble. El simple y más sencillo es el ilustrado en la imagen anterior y consistirá básicamente en una serie de entradas DNS que irán modificándose rápidamente para mover el servicio de un sitio a otro y evitar su desactivación, el doble es una vuelta de tuerca más al asunto.

Como hemos podido ver FastFlux suele depender de uno o varios dominios que su vez tendrán una serie de servidores DNS, ¡¡fantástico!!!, en lugar de intentar desactivar a los hosts o a los controladores (que están dentro de la red Fast Flux), desactivaremos a los DNS y así dejamos fuera de servicio la red…. salvo que los DNS estén a su vez incluidos en una red Fast Flux.

 

 

<imagen original en proyecto honeynet, puedes verla aquí>

La única opción que nos queda es conseguir eliminar el dominio o dominios origen del ataque, pero como podéis suponer estos suelen estar alojados en países poco colaboradores con la justicia, motivo por el cual es complicado y lento.

Como podéis intuir las redes Fast Flux son una de las amenazas a la seguridad más importantes que tenemos entre manos.

Fuentes:

Proyecto Honeynet

Wikipedia

CCN-STIC-818, Publicado el primer borrador

El Centro Criptológico Nacional (CCN), ha liberado el primer borrador de la Guía CCN-STIC-818    titulada “HERRAMIENTAS DE SEGURIDAD EN EL ENS”. Al igual que todas las de la serie 8XX consituye una herramienta práctica centrada en la adopción del Esquema Nacional de Seguridad (ENS), abordando las diferentes herramientas que pueden usarse en sistemas informáticos para cumplir los requisitos del ENS.

Esta guía (en la que he participado como uno de los autores principales), constituye mi segunda colaboración con el CCN (también soy autor de la CCN-STIC-811) y espero sea de utilidad a las personas y organismos que estén inmersos en la adopción del ENS.

Referencias:

CCN-STIC-818- “Herramientas de seguridad en el ENS”

CCN-STIC-811- “Interconexión en el ENS”