Lufthansa is the new Luftwaffe: flying hell

Posted on June 24, 2010 by Simon Roses

Ayer regrese de Dubai, donde he estado unos días de vacaciones. Mi primera opción para volar hasta allí era sin duda Lufthansa, para mí una de las mejores compañías, aunque en este viaje el avión y servicio no han estado a la altura y no volveré a volar con ellos en mucho tiempo.

Yesterday I returned from Dubai where I have been a few days on vacation. My first choice to fly there was no doubt Lufthansa, since for me is one of the best companies. But on this trip the aircraft and service have not being good at all and I will not fly again with them in a long time.

El avión (me tocó el mismo ida y vuelta, porque tenía el mismo televisor roto) un relativo moderno Boeing 747 sin On-Demand Video. Ok, puedo vivir sin ello pero me extraña que no pongan aviones más modernos entre Frankfurt y Dubai (6 horas vuelo).

The aircraft (same plane on both flights, because it had the same broken TV) a relative modern Boeing 747 without On-Demand Video. OK I can live without it, but I am surprised at not having a more modern aircraft between Frankfurt and Dubai (6 hours flight).

El regreso sí que fue peor (vuelo nocturno), ya que mi asiento no se podía reclinar (y lógicamente el de delante mía se reclinó) y mi luz de lectura tampoco funcionaba, pinta bien la cosa. Llamo a la azafata y prácticamente me dijo que “mala suerte” y que me fuera a buscar otro asiento de muy mala forma. Por suerte encontré un asiento decente porque una persona se movió, sino el vuelo hubiese sido muy pero que muy largo.

The return (overnight) was worse since my seat could not back (and logically the seat in front did) and my reading light didn’t work either, the prelude of a good fly. So I call the stewardess and virtually told me that “bad luck” and that should look around for another seat in a very rude way. Luckily I did found a decent seat because someone moved, if not the flight would have been very, very long.

Desde luego que Lufthansa ha caído en calidad de servicio muchísimo y recomiendo no volar con ellos en mucho tiempo!

Lufthansa has dropped quality of service big time and I recommend not fly with them in a long time!

— Simon Roses Femerling

Posted in Business | Tagged | Leave a comment

Book Review: Unauthorised Access

Posted on June 16, 2010 by Simon Roses

Hace poco que he terminado el libro “Unauthorised Access: Physical Penetration Testing For IT Security Teams” (ISBN 978-0-470-74761-2) del autor Will Allsopp y con una introducción del famoso Kevin Mitnick.

Recently, I have finished the book “Unauthorised Access: Physical Penetration Testing For IT Security Teams” (ISBN 978-0-470-74761-2) authored by Will Allsopp and foreword by famous Kevin Mitnick.

Este libro está enfocado a realizar Test de Intrusión (Hacking Ético) de forma profesional y basado en la experiencia del autor en la gestión de Tiger Teams en el Reino Unido (UK). La obra está compuesta por 11 capítulos y varios anexos que cubren los diferentes aspectos de un test de intrusión como la motivación, los recursos necesarios (personal, equipamiento, etc.), leyes, fases, vectores de ataque, etc.

The book is focused on how to perform professional Penetration Testing (Ethical Hacking) based on author experience in the management of Tiger Teams in the United Kingdom (UK).  The work consists of 11 chapters and several annexes covering different aspects of a penetration testing as the motivation, the resources (staff, equipment, etc.), laws, stages, attack vectors, etc.

El libro es de fácil lectura e incluye ejemplos reales del trabajo del autor. Una interesante lectura para cualquier persona que realice Test de Intrusión o departamentos de seguridad para entender la logística de los atacantes y cómo defenderse.

The book is easy to read and includes real-world examples of the work of the author. An interesting reading for anyone performing penetration testing or for security departments to understand the logistics of the attackers and how to defend themselves.

Los ejemplos del libro describen cómo el equipo del autor realizan Test de Intrusión a una Central Nuclear, una empresa química y una universidad en la cual se está desarrollado un proyecto clasificado del Gobierno Británico, además de varios ejemplos prácticos basados en la experiencia.

The book examples described as the author team perform Penetration Testing on a nuclear plant, a chemical company, and a University in which a classified project is being developed for the British Government, apart from several practical examples based on the author ‘s experience.

El libro me ha gustado, aunque como punto negativo tengo que admitir que me hubiera gustado algo más de información técnica y que los ejemplos no fueran tan obvios por regla general. Como punto a favor el autor no pierde demasiado tiempo con los primeros capítulos introductorios y enseguida pasa a la materia.

Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 4 Roses (Lectura recomendada)

I’ve liked the book but as a negative comment I have to admit that I would have liked more technical information and examples that were not obvious as a general rule. A comment in favor is that the author does not waste much time with the first introductory chapters and move to the subject quickly.

Score (1 rose, very bad / 5 roses, very good): 4 Roses (Recommended Read)

— Simon Roses Femerling

Posted in Books, Security, Technology, Wireless | Tagged , , , , , , , , | Leave a comment

You are a Virus!!

Posted on June 11, 2010 by Simon Roses

Recientemente leí una interesante noticia sobre un científico inglés que investiga la propagación de virus informáticos en los implantes electrónicos y para ello se ha infectado con un virus para ver cómo se transmite.

I recently read an interesting article about an English scientist who is investigating the spread of viruses in electronic implants and he has infected himself with a virus to see how it is transmitted.

Mediante un virus insertado en un chip RFID (identificación por radiofrecuencia) ha estudiado como el virus infectó a otros dispositivos de su alrededor durante la prueba y el potencial para infectar a otras personas con implantes.

Through a virus inserted in a chip RFID (radio frequency identification) he has studied how the virus infected other devices around him during the test and the potential to infect other persons with implants.

Desde el punto de vista de seguridad la trasmisión de virus mediante RFID es fascinante pero también preocupante, aunque al fin al cabo es simplemente otro medio de comunicación. Imagino que las casas de AntiVirus sacaran “firewall corporales” 🙂

From a security point of view the transmission of viruses using RFID is fascinating but also disturbing, but after all is just another means of communication. I imagine the AntiVirus houses will make “body firewall” 🙂

Por el lado ofensivo a medida que el Internet de los Objetos (IoT) está cada vez más introducido en nuestras vidas los virus podrían infectar toda nuestra casa o el barrio entero! Las ciberguerras en vez de atacar Infraestructuras Criticas (IC) ahora se podrían dirigir a los soldados o civiles mediante el uso de virus para dejarlos inutilizados.

On the offensive side, as the Internet of things (IoT) is increasingly introduced in our lives a virus could infect our house or the entire neighborhood! Cyber wars instead of attacking Critical Infratructures (CI) could be directed to soldiers or civilians using viruses to leave them crippled.

Está claro que ahora mismo es más fantasía que realidad pero no debemos subestimar los riesgos y la industria de seguridad debería ir preparando el terreno con medidas adecuadas y eficaces por una vez.

Y tú qué posibilidades le ves al uso de virus humanos?

It is clear that the current risk is more fantasy than reality for now but we should not underestimate the risks and the security industry should be preparing the ground with appropriate and effective measures for once.

What possibilities do you see in the use of human viruses?

 — Simon Roses Femerling

Posted in Security, Technology | Tagged , , , , , | Leave a comment

All that glitters is not gold: Google, Privacy and Wireless

Posted on May 24, 2010 by Simon Roses

Es un hecho que Google ha cambiado muchos aspectos de nuestras vidas con su fascinante tecnología disruptiva y lo que está por venir (GoogleTV, propia red fibra óptica, etc.), pero debe mejorar en los temas de seguridad y privacidad si quiere mantener su ventaja competitiva.

It is a fact that Google has changed many aspects of our lives with its fascinating disruptive technology and what is yet to come (GoogleTV, his own fiber-optic network, etc.), but it should improve security and privacy policies if they want to maintain their competitive advantage.

Varias agencias de protección de datos de países como Canadá, Francia, Alemania, Irlanda Israel, Italia, Holanda, Nueva Zelanda, España y Reino Unido han escrito una carta en conjunto para protestar frente a la actuación de Google con su nuevo servicio Buzz que han enviado al consejero delegado de la compañía, el señor Eric Schmidt.

Several data protection agencies from countries such as Canada, France, Germany, Ireland, Israel, Italy, Netherlands, New Zealand, Spain and United Kingdom have written a letter together to protest against the performance of Google with its new service Buzz that has been sent to the company CEO, Mr. Eric Schmidt.

Algunos países como Alemania están yendo más allá exigiendo cambios y restricciones en el servicio de Google Street View, que según las autoridades alemanas vulnera los derechos a la privacidad (caras, matrículas de vehículos, números de casas, etc.)

Some countries such as Germany are going even further demanding changes and constraints in the service of Google Street View since according to the German authorities the service violates the rights to privacy (faces, vehicle registrations, numbers of houses, etc.)

En los últimos días países como Alemania y España están tomando medidas contra Google por la vulneración de la privacidad que lleva años realizando con los coches Google que se conectaban a las redes wifi abiertas y que “accidentalmente” copiaban el tráfico de la red, la cantidad de información privada que Google tendrá ahora mismo debe ser una locura. A cualquier otra compañía ahora mismo la estarían crujiendo!

In recent days countries such as Germany and Spain are taking measures against Google by the violation of privacy performed with the Google car’s connecting to open wireless networks and “accidentally” copying traffic on the network done for years, the amount of private information that Google has right now I   assume has to be insane. If any other company would have done the same right now will be dead!

Sera interesante ver cómo Google responde a todos los frentes que se están abriendo. En mi opinión la compañía debe reaccionar satisfaciendo los requisitos de las partes implicadas y quizás dejar de acumular tanta información “de todo el mundo”.

Y tú qué opinas de las políticas de privacidad de Google?

It will be interesting to see how Google responds to all fronts that are opening up. In my opinion the company must react to satisfy the requirements of all stakeholders and maybe stop collecting as much information “worldwide”.

And what do you think about Google privacy policies?

— Simon Roses Femerling

Posted in Privacy, Security, Technology, Wireless | Tagged , , | Leave a comment

Chocolate Hacker Keyboard Box

Posted on May 17, 2010 by Simon Roses

Regalo de mi mujer, el teclado más dulce que he tenido 🙂

Gift from my wife, the sweetest keyboard I’ve ever had 🙂

choco keyboard

— Simon Roses Femerling

Posted in Technology | Tagged | Leave a comment

Microsoft CSO COUNCIL 2010, Madrid

Posted on May 15, 2010 by Simon Roses

Ayer se celebró el evento anual de seguridad para CSOs en las oficinas de Microsoft Ibérica en Madrid con una interesante agenda de ponentes (por orden  de ponencia):

Yesterday the annual security CSO event was held at Microsoft Madrid office with an interesting agenda of speakers (in order of presentation):

Microsoft: Simón Roses Femerling 🙂
Microsoft – Seguridad en la Nube

Ponencia sobre la oferta de Microsoft en la Nube y una visión desde dentro sobre seguridad y privacidad.

Microsoft: Simon Roses Femerling 🙂
Microsoft – Security in the cloud

Presentation about Microsoft offer in the cloud and a view from inside regarding security and privacy.

Hispasec: Bernando Quintero y Ero Carrera
Virus Total Malware Intelligence Service

Bernando y Ero hablaron sobre el portal Virus Total y cómo partiendo de una simple idea se ha convertido en el portal antivirus de referencia a nivel mundial con más de 40 motores antivirus y lista de espera. Si tienes un fichero sospechoso no olvides subirlo al portal, es gratis!!

Hispasec: Bernardo Quintero and Ero Carrera
Virus Total Malware Intelligence Service

Bernardo and Ero spoke about the Virus Total portal and how on the basis of a simple idea it has become the worldwide portal of reference with more than 40 anti-virus engines and waiting list. If you have a suspicious file don’t forget to upload it to the portal, it’s free!!

Taddong: David Perez y José Picó
Dispositivos móviles: nuevas amenazas

Los chicos de Taddong, empresa de seguridad de reciente creación por unos conocidos expertos en seguridad, nos hablaron sobre seguridad en teléfonos móviles y realizaron demos de cómo eran capaces de realizar distintos ataques como sniffing, MITM,  etc., básicamente “0wn the phone”. La conclusión es que actualmente los teléfonos móviles son inseguros y es relativamente fácil realizar estos ataques con el equipamiento adecuado. Esto es una llamada de atención a los operadores telefónicos y a los gobiernos!!

Taddong: David Perez and José Picó
Mobile devices: new threats

Taddong guys, a newly created company by well-known security experts, talked about security in mobile phones and made demos of how they were able to perform different attacks such as sniffing, MITM, basically “0wn the phone” etc. The conclusion is that mobile phones are currently unsafe and is relatively easy to make these attacks with the appropriate equipment. This is a wakeup call to telephone operators and Governments!

Informática 64: Chema Alonso
Buscadores + DNS + Metadatos: Fugas de Información

Chema nos presentó la herramienta FOCA que permite extraer jugosa información de los metadatos de los documentos obtenidos a través de los buscadores para el dominio que queramos analizar. Esta herramienta es ideal para test de intrusión u Open Source Intelligence (OSINT). Las empresas van a tener que establecer políticas de seguridad sobre el uso de los metadatos.

Informatica 64: Chema Alonso
Search engines + DNS + metadata: information leaks

Chema presented the FOCA tool to extract the metadata from documents obtained through the search engines for the domain we want to analyze. This tool is great for penetration testing or Open Source Intelligence (OSINT). The companies need to create policies regarding the use of metadata.

Kabel: Raúl Moros Peña
La confidencialidad de la información ¿la protegemos o la protegemos?

Raúl presentó consejos para proteger y evitar fugas de información utilizando Information Rights Management (IRM) mediante tecnologías como Rights Management Services (RMS) y  Data Leak Prevention (DLP). Raúl realizo unas demos de cómo proteger documentos utilizando el RMS de Microsoft.

Kabel: Raúl Moros Peña
Confidentiality of information ¿protect it or protect it?

Raúl presented tips to protect and prevent information leaks by using Information Rights Management (IRM) technologies such as Rights Management Services (RMS) and Data Leak Prevention (DLP). Raúl made a few demos of how to protect documents using Microsoft RMS.

La verdad es que el evento estuvo muy bien y las charlas tuvieron un gran nivel. Felicidades a todos los ponentes y a la organización 🙂

Hasta el próximo año!

The truth is that the event went very well and there were very high level talks. Congratulations to all speakers and the organization 🙂

See you next year!

— Simon Roses Femerling

Posted in Conference, Microsoft, SDL, Security | Tagged , , , , | Leave a comment

Wireless Recon & Attack Visualization Techniques

Posted on May 11, 2010 by Simon Roses

Para realizar ataques efectivos y silenciosos es crucial realizar una extensa fase de recogida de información sobre el objetivo con el fin de identificar los vectores de ataque. En este hipotético ejemplo vamos a analizar la seguridad de redes wireless utilizando técnicas de visualización.

To execute effective and covert attacks is crucial to perform an extensive information gathering phase of the target to identify the attack vectors. In this hypothetical example we are going to analyze the security of wireless networks using visualization techniques.

Para la fase de reconocimiento tenemos un amplio abanico de herramientas como son kismet, la suite de aircrack-ng, Netstumber, etc. Como siempre todas las herramientas tienen sus pros y sus contras y es una cuestión de gustos. Personalmente me gusta aircrack-ng y es la que vamos a utilizar para capturar la información en tránsito.

For the reconnaissance phase we have a wide range of tools such as kismet, aircrack-ng suite, Netstumber, etc. As always all tools have their pros and cons and it is a matter of taste. I personally like aircrack-ng and it is what we are going to use to capture the information in transit.

Partimos de que ya hemos capturado la información mediante airodump-ng y usamos una nueva herramienta llamada airgraph-ng incluida en la suite para visualizar la información. Para ello ejecutamos los siguientes comandos:

We assume that we have already captured information through airodump-ng and use a new tool called airgraph-ng included in the suite to display the information. To do this, we run the following commands:

img1_vwr

Primero ejecutamos el programa airgraph-ng con el parámetro “-i” especificando el fichero obtenido mediante airodump-ng y con el parámetro “-g” con la opción “CAPR” que significa “Client – AP Relationship”, la relación entre clientes y AP.

Y éste es el resultado:

We first run the program airgraph-ng with the parameter “- i” specifying the file obtained from airodump-ng and with the parameter”- g” using “CAPR” which means “Client – AP Relationship”, the relationship between clients and AP.

And this is the result:

img2_vwr

En la imagen podemos apreciar 2 Access Point (AP) protegidos mediante WEP 😉 y cada uno tiene un cliente asociado respectivamente. De forma rápida podemos analizar la información obteniendo número de AP, clientes, seguridad, canales y nombres de los AP.

Ahora hagamos lo mismo pero cambiando el parámetro “-g” por CPG que significa “Common Probe Graph”, para identificar los SSID que están buscando los clientes.

In the image we see 2 Access Point (AP) WEP protected 😉 and each has a customer associated respectively. Quickly we can analyze the information and grasp the number of AP, clients, security, channels, and names of the AP.

Now we do the same but changing the parameter “-g” to GPC which means “Common Probe Graph” to identify the SSID that clients are probing for.

img3_vwr

Y ahora podemos ver lo siguiente:

And now we can see the following:

img4_vwr

Los círculos blancos son clientes y los círculos azules son SSID. Si observamos la imagen podemos ver clientes que apuntan al mismo SSID, seguramente el AP al que están asociados, pero también podemos extraer más información interesante como dónde ha estado una persona por los SSID ya que revelan información geográfica. Podríamos empezar a crear un perfil del objetivo.

Airgraph-ng utiliza diferentes colores para los AP en función del método de encriptación como amarillo para WEP y rojo para AP abiertos.

The white circles are clients and the blue circles are SSID. If we look at the image we see clients targeting the same SSID, surely they are associated to that AP, but we can also draw more interesting information such as where a person has been by the SSID that reveal geographic information. We could begin to create a profile of the target.

Airgraph-ng uses different colors for the AP depending on the encryption method as red for open AP and yellow for WEP.

img6_vwr

En la imagen podemos ver 6 AP y 7 clientes. Uno de los AP esta en rojo que significa que el AP está abierto y además vemos un cliente asociado 😉

Los fans de Maltego están de enhorabuena, ya que incorpora la capacidad de realizar análisis visuales de redes wireless en conjunto con aircrack-ng. Os mostramos el gráfico anterior mediante Maltego.

In the image we can see 6 AP and 7 clients. One of the AP is in red which means that the AP is open and we also see a client associated 😉

Maltego fans are in luck because it incorporates the ability to perform visual analysis of wireless networks in conjunction with aircrack-ng. We are using the previous graphic with Maltego.

img8_vwr

Donde vemos un AP abierto (verde), varios AP encriptados con WEP (azul) y clientes (marrón). Maltego proporciona un entorno ideal para realizar análisis de grandes cantidades de información y combinarlo con técnicas de Open Source Intelligence (OSINT). Haciendo un zoom podemos ver la imagen con mayor detalle.

We see an AP opened (green), several AP encrypted with WEP (blue) and clients (Brown). Maltego provides an ideal environment to perform analysis of large amounts of information and combine it with techniques of Open Source Intelligence (OSINT). Making a zoom we can see the image in greater detail.

img9_vwr

Como podemos ver en el artículo las técnicas de visualización nos ayudan a ser más efectivos y reducir el tiempo de análisis significativamente. Ahora ya contamos con una visión de los vectores de ataque y podemos optar por diferentes estrategias como:

  • Atacar el AP abierto
  • Atacar alguno de los AP encriptados con WEP
  • Atacar cualquiera de los clientes
  • Meter un AP malicioso
  • Interferir la comunicación entre AP y cliente

 Una vez comprometido el AP o cliente podríamos continuar la intrusión combinando otros ataques de redes y sistemas para conseguir nuestro objetivo.

¿Qué técnicas de visualización y herramientas te gusta utilizar para tus análisis?

As you can see in the post visualization techniques will help us be more effective and significantly reduces analysis time. Now we already have a view of the attack vectors and we can choose different strategies such as:

  • Attacking the open AP
  • Attack any of the AP encrypted with WEP
  • Attack any of the clients
  • Put a malicious AP
  • Jamming AP-client communications

Once the AP or client is owned we could continue the intrusion by combining other network and system attacks to achieve our objective.

What visualization techniques and tools do you use for your analysis?

— Simon Roses Femerling

Posted in Pentest, Security, Wireless | Tagged , , , , , , , , , , , | Leave a comment

Source Conference: Boston Agenda & Barcelona CFP

Posted on March 22, 2010 by Simon Roses

Si estas en US no te pierdas la conferencia SOURCE con su increíble agenda: http://www.sourceconference.com/index.php/boston2010/sb2010-schedule

Y si estas por Europa pues te interesa venir a SOURCE Barcelona: http://www.sourceconference.com/index.php?option=com_rsform&formId=18&Itemid=99999

Nos vemos!!! 🙂

If you are in US don’t miss the SOURCE Conference with its incredible schedule: http://www.sourceconference.com/index.php/boston2010/sb2010-schedule

And if you in Europe you should come to SOURCE Barcelona: http://www.sourceconference.com/index.php?option=com_rsform&formId=18&Itemid=99999

See you around!!! 🙂

— SRF

Posted in Conference, Security | Tagged , | Leave a comment

Attack Surface Analysis Infinitum

Posted on March 3, 2010 by Simon Roses

En cualquier revisión de seguridad ya sea un test de intrusión, revisión de una aplicación web o de código fuente el Attack Surface Analysis (ASA) es una poderosa metodología que podemos utilizar para identificar los vectores de ataque del sistema. Personalmente siempre realizo este ejercicio en cualquier proyecto para determinar los puntos vulnerables y luego otro ejercicio llamado Attack Surface Reduction (ASR) para evaluar y mitigar los vectores de ataque.

In any security review whether is a pentesting, a web application or source code review Attack Surface Analysis (ASA) is a powerful methodology that we can use to identify the system attack vectors. Personally I always do this exercise in any project to determine the vulnerabilities and then another exercise called Attack Surface Reduction (ASR) to assess and mitigate attack vectors.

Por lo que podemos definir ASA como un análisis sistemático del sistema para identificar los vectores de ataque y ASR como el proceso de validación y mitigación de los vectores de ataque.

We can define ASA as a systematic analysis of the system to identify attack vectors and ASR as the process of validation and mitigation of attack vectors.

Las organizaciones tienen multitud de vectores de ataques desde sus redes corporativas, aplicaciones, personas, etc. que pueden ser explotados. Los atacantes solo necesitan encontrar un vector de ataque que les permita conseguir su objetivo mientras que los defensores deben identificar todos los vectores de ataques y realizar un ASR.

Organizations have many attack vectors from their corporate networks, applications, people, etc. that can be exploited. Attackers just need to find a single attack vector that enables them to achieve their goal while defenders must identify all attack vectors and perform an ASR.

Como dice un proverbio chino “Si das pescado a un hombre hambriento, le nutres una jornada. Si le enseñas a pescar, le nutrirás toda la vida”, veamos algunos ejemplos prácticos de ASA. 

As said by a Chinese quote “Give a man a fish and you feed him for a day. Teach him how to fish and you feed him for a lifetime”, let’s look at some practical examples of ASA.

ASA Corp. Network

El siguiente grafico es un diagrama de una red corporativo típico que podemos encontrar en muchas organizaciones.

The following graphic is a diagram of a typical corporate network found in many organizations.

visio%20diagram

http://oahucomputers.com/_library/images/visio%20diagram.jpg

 Realizando un ASA superficial algunos vectores de ataque podrían ser:

  • ¿Está el Firewall y/o routers correctamente configurados? ¿Tienen vulnerabilidades?
  • ¿Cuál es la relación de confianza de las oficinas remotas?
  • ¿Atacar el Access Point (AP) y/o a los clientes?
  • ¿Acceder a un ordenador portátil, PDA y/o Smartphone?
  • ¿Atacar a los clientes (navegador, ficheros malicioso, email, etc.)?
  • ¿La postura de seguridad de los servidores (parches, configuraciones, etc.)?
  • ¿Atacar la red?

Performing a superficial ASA some attacks vectors could be:

  • ¿Is the Firewall and/or routers properly configured? ¿Have vulnerabilities?
  • ¿What is the trusted relationship of remote offices?
  • ¿Can you attack the access Point (AP) and/or clients?
  • ¿Having access to a laptop, PDA or Smartphone?
  • ¿Can you attack clients systems (browser, malicious files, email, etc.)?
  • ¿What is the security posture of servers (patches, configurations, etc.)?
  • ¿Can you attack the network?

 Herramientas / Tools

ASA Web App

En este ejemplo realizaremos un ASA de una aplicación web.

In this example we will make an ASA of a web application.

web

Realizando un ASA superficial algunos vectores de ataque podrían ser:

  • ¿Es el usuario el usuario? ¿Puede el usuario realizar mas acciones de las necesarias?
  • ¿Hasta dónde llega el admin?
  • ¿Servidor web inseguro?
  • ¿Aplicación web desarrollado sin SDL-LOB?
  • ¿Comprometer la información en tránsito (MITM) y/o en reposo?
  • ¿Atacar la base de datos?
  • ¿Cómo gestiona la aplicación la información?

Performing a superficial ASA some attacks vectors could be:

  • ¿Is the user the user? ¿Can the user perform more actions than necessary?
  • ¿How far can the admin go?
  • ¿Insecure web server?
  • ¿Was the web application developed without SDL-LOB?
  • ¿Can you compromise information in transit (MITM) and/or rest?
  • ¿Can you attack the database?
  • ¿How the app manages information?

Herramientas / Tools

ASA Code Review

En una revisión de código fuente el ASA podría ser:

  • ¿Lee la aplicación de ficheros, sockets, registro, memoria compartida, etc.?
  • ¿Realiza algún tipo de autenticación y autorización?
  • ¿Encripta información? ¿Algoritmo de cifrado?
  • ¿Tiene código antiguo?
  • ¿Interactúa con otras aplicaciones?
  • ¿Qué permisos necesita para ejecutarse?
  • ¿Tecnologías que utiliza la aplicación?

For a code review source ASA could be:

  • ¿Reads the application from files, sockets, registry, shared memory, etc.?
  • ¿Does some kind of authentication and authorization?
  • ¿is information encrypted? ¿What encryption algorithm?
  • ¿Have the app old code?
  • ¿Does the app interact with other applications?
  • ¿What permissions it needs to run?
  • ¿What technologies is the app using?

Herramientas / Tools

Lo cierto es que me he quedado muy lejos de realizar un ASA completo pero como bien refleja el título de este post existen multitud de vectores de ataque en las organizaciones pero es un ejercicio que debemos realizar a consciencia y constantemente.

Para ello tenemos mucha documentación, metodologías (Attack Trees, Threat Models, etc.) y herramientas a nuestra disposición.

¿Y vosotros como realizáis un ASA en vuestras revisiones de seguridad?

The truth is that I’m far away for a full ASA but as reflected in the post title there are many different attack vectors in organizations but is an exercise we must perform consciousness and constantly.

We have lots of documentation, methodologies (Attack Trees, Threat Models, etc.) and tools at our disposal.

¿How do you do your ASA in your security reviews?

Links:

— SRF

Posted in Microsoft, OWASP, Pentest, SDL, Security, Threat Modeling | Tagged , , , | Leave a comment

Privacy concerns on Google Buzz

Posted on February 15, 2010 by Simon Roses

 Actualización 18/02/10: Era cuestión de tiempo, 1) vulnerabilidad en Buzz y 2) demanda de privacidad contra Buzz por parte de EPIC.

Prácticamente todo el mundo a estas alturas ha oído hablar del nuevo servicio de Google llamado Buzz,  que acaba de lanzar la semana pasada para competir contra Facebook y Twitter. He de confesar que el servicio no es mala idea, ya que integra de forma cómoda Gmail con Google Maps desde el PC o incluso desde el móvil Android y otros dispositivos.

Pero desde el punto de vista de la privacidad Google Buzz tiene grandes fallos y debería aprender de la competencia como Facebook, que ha mejorado bastante en estos temas.

Algunas de las cuestiones que me preocupan y mucho del uso de Buzz son:

  1. Por defecto en tu página principal de Buzz te salen amigos que les haces seguimiento sin haberlo definido.
  2. Por defecto cuando publicas en Buzz todo el mundo lo puede ver!
  3. Tus mensajes en Buzz aparecen en Google Maps indicando nombre y lugar, incluso la calle, con lo que estás indicando tu posición real.
  4. Por defecto puedo ver a quiénes siguen mis amigos y quiénes siguen a mis amigos.

El punto 3 es realmente preocupante ya que se va a poder seguir físicamente a una persona con cualquier finalidad! Estoy seguro que irán apareciendo más cuestiones de privacidad y seguridad en breve, por lo que desde CyberSpace Insecurity les seguiremos la pista y os mantendremos informados 🙂

Y tú que piensas sobre Buzz?

Update  02/18/10: Just a matter of time, 1) Buzz vulnerability and 2) EPIC complains regarding Buzz privacy.

Virtually everyone at this stage has heard of the new Google service called Buzz released last week to compete against Facebook and Twitter. I must confess that the service is not a bad idea since it integrates Gmail and Google Maps from your PC or even from the Android mobile and other devices.

But from the point of view of privacy Google has done some big mistakes and should learn from competitors such as Facebook that has improved on these issues.

Some of the issues that seriously concern me about the use of Buzz are:

  1. By default on your Buzz homepage you are following your friends without explicitly configuring it.
  2. By default posting on Buzz is public. Everybody can see it!
  3. Your Buzz messages appear in Google Maps indicating name and location, even the street, indicating your real spot.
  4. By default I can see my friends’ followers and who they follow.

Point 3 is really worrying as you can follow physically a person to who knows what! I am sure more issues of privacy and security will appear shortly but from CyberSpace Insecurity we will   continue to track them and keep you posted 🙂

And what do you think about Buzz?

— SRF

Posted in Privacy, Security | Tagged , , | Leave a comment