Avanza la Estrategia Nacional de Ciberseguridad Costa Rica.

 

flag

Buenas a todas y todos en la mañana del 2 julio de 2018 se llevo acabo una reunión que impulsa los objetivos establecidos en el Marco de la Estrategia Nacional de Ciberseguridad Costa Rica. La reunión de la Comisión de Ciberseguridad integrada por representantes del MICIT, ICE, OIJ, MSP, DIS, IFAM y NIC Costa Rica tenia el propósito de conocer y evaluar los resultados del trabajo coordinado entre las entidades participantes.

Aspectos que resaltar en dicha reunión:

  • Se desarrolló la primera versión del Protocolo de Gestión de Incidentes de Ciberseguridad, que se empezará a implementar como un proyecto piloto junto al Ministerio de Seguridad Pública, para luego seguir con los demás Ministerios.

 

  • Se constituyó la primera versión de la Red de Enlaces de Ciberseguridad, un mecanismo que permite contactar directamente a los encargados en materia de ciberseguridad de las instituciones del Sector Público Costarricense, y que facilitará la coordinación en materia seguridad informática y atención de incidentes o recomendaciones internacionales en la materia.

 

  • Se implementaron herramientas de monitoreo en el CSIRT-CR, que permiten contar con alertas tempranas respecto a potenciales nuevos incidentes de ciberseguridad.

Continuamos avanzando en temas de ciberseguridad en nuestro país.

Referencias:

Anuncios

Agenda de Julio 2018 (Charlas o Actividades de Tecnología o Ciberseguridad)

flag

Buenas todas y todos en un poco difícil mantenerse informado de todas las actividades o
charlas pero intentare hacer una lista por mes de actividades o charlas de tecnología o ciberseguridad que me encuentre en noticieros o redes sociales.

18 – 20 Julio

2018 IEEE International Work Conference on Bioinspired Intelligence (IWOBI)

Referencia: http://iwobi.ulpgc.es/2018/

21 – 22 Julio

WordCamp San José

Referencia: https://2018.sanjose.wordcamp.org/

25 – 26  -27 Julio

Congreso de Computación para el Desarrollo COMPDES 2018

Referencia: http://www.compdes.org/congreso/

Continuara actualizándose hasta finales de julio del 2018…

Si alguno conoce alguna otra actividad o charla relacionada a “Tecnología o Ciberseguridad” para este mes de Julio 2018, déjenla en sus comentarios.

Cazando webshells

Buenas a todas y todos hoy con un tema que no son nada nuevo, pero continua dándole dolores de cabeza a los profesionales de seguridad y sus clientes. Hoy hablaremos de las webshell, como prevenir y detectarlas.

¿Qué son las webshells?

“Es un script o programa escrito en un lenguajes de programación como: Perl, Ruby, Javascript, Python, JSP, PHP o ASP o ASPX, que se carga en un servidor web para habilitar la administración remota de la máquina. La función principal  de este script es ejecutar comandos de sistema operativo en forma remota, por medio de una interfaz web.”

webs3

Entre algunas webshells conocidas encontramos:

  • “c100.php“
  • “r57shell.php”
  • “r57.php”
  • “b374k.php”
  • “c99shell.php”
  • “phpshell.php”
  • “sh3llZ.php”
  • “C99shell.php”
  • “angel.php”
  • “dq99.php”
  • “netcat.php”
  • “shell.aspx”
  • “zehir.asp”

Usos:

Estas webshells son utilizadas para tomar el control de servidores web para ser utilizados en acciones delictivas.

Problemática:

Los profesionales en seguridad y sus clientes se enfrentan a una baja tasa de detección de los antivirus y una evolución constante de las Webshells al considerarse un elemento open-source.

Medidas:

Es recomendado contar con un set de herramientas o medidas que ayuden en la prevención y detección de las Webshells, a continuación se enumeran algunas de ellas:

Medidas para detectar las Webshells:

Detección en Redes

Monitoreo e análisis de trafico de red:

  • Reglas en IDS: Snort
  • Patrones de tráfico: Wireshark

Uso de herramientas de Security Analytics: (proceso de usar herramientas de recopilación, agregación y análisis de datos para el monitoreo de seguridad y la detección de amenazas.)

  • OpenSOC
  • Splunk
  • IKANOW’s

Detección en Servidor

Servicios Online:

  • Utilizar los servicios online (Repositorios de defacement) como fuente de monitoreo ejemplo:
    • Zone-h.org
    • mirr0r.org
    • Defacer.ID

webs1

  • Servicios online de escaneo de sitios web.

3

  • Utilizar Hacking de buscadores como fuente de monitoreo.

webs

  • Utilizar el servicio online para verificar archivos sospechosos de posibles webshell en nuestro servidor:  https://shellray.com/

webs2

Detectores de WebShells:

“You do it” o Hazlo tu:

  • Crea tu propio script para detectar patrones o cadenas de texto sospechosas.

Chequear Logs:

  • Revisión periódica de los logs de servidor web y sistema operativo.

Chequear Integridad:

  • Establecer política de administración de cambios para sus servidores web.
  • Monitoreo de cualquier cambio en el contenido por medio de un sistema de integridad de archivos:
    • Samhain
    • TripWire
    • AIDE

Medidas básicas de prevención de Webshells:

  • Realizar periódicamente un análisis de vulnerabilidades de nuestro servidor Web.
  • Realizar Hardering del servidor Web.
  • Proteger nuestras aplicaciones por medio de un firewall de aplicaciones web (WAF).
  • Mantenerse al día de actualizaciones y vulnerabilidades que afecten nuestro servidor web.
  • Mantener un antivirus actualizado.

 

Saludos, os dejo………Si conoces alguna otra medida o herramienta déjala en tus comentarios.

Agenda de Junio 2018 (Charlas o Actividades de Tecnología o Ciberseguridad)

flag

Buenas todas y todos en un poco difícil mantenerse informado de todas las actividades o charlas pero intentare hacer una lista por mes de actividades o charlas de tecnología o ciberseguridad que me encuentre en noticieros o redes sociales.

8 junio

12 junio

19 junio

28 – 30 junio

Si alguno conoce alguna otra actividad o charla relacionada a “Tecnología o Ciberseguridad” para este mes de Junio 2018, déjenla en sus comentarios.

 

Agenda de Mayo 2018 (Charlas y Actividades de Tecnología o Ciberseguridad)

flag

Buenas todas y todos es un poco difícil mantenerse informado de todas las actividades o charlas pero intentare hacer una lista por mes de actividades o charlas de tecnología o ciberseguridad que me encuentre en noticieros o redes sociales que se realicen durante cada mes del año.

23 de mayo

  • Hacking Challenge 2018.

Referencia: http://www.hackingchallenge.net

24 de mayo

  • TechDay 2018 Costa Rica.

Referencia: http://techday.pro/techday-costa-rica/

28 – 30 de mayo

  • I Simposio Internacional sobre Derecho Informático.
  1. Comercio Electrónico y fraudes por medios electrónicos. (Lunes 28 de mayo)
  2. Libertad de información y expresión por medios electrónicos. (Martes 29 de mayo)
  3. Plataformas tecnológicas, Fintech, criptodivisas y regulación. (Miércoles 30 de mayo)

Referencia: https://adalidmedrano.com/i-simposio-internacional-sobre-derecho-informatico/2018/

Si alguno conoce alguna otra actividad o charla relacionada a “Tecnología o Ciberseguridad” para este mes de Mayo 2018, déjenla en sus comentarios.

CiberAtaque Costa Rica (Defacement)

Buenas a todas y todos, el pasado sábado 12 de mayo se vieron atacados sitios web de la municipalidad de Corredores, Puntarenas, Matina, San Isidro y el proyecto Amigos de la Infancia sufrieron el ataque “defacement”, de un del grupo de Pakistán los ciber activistas denominados “Pak Cyber Thunders”

index

En el defacement aparece un texto de reclamo:

Message

Your Site Is Hacked Is Because of Your High Security!

PayBack of Hacking Pakistani Sites

Free Kashmir, Because Its Our!

Pakistan Zindabad

Se ha confirmado los ataques en redes sociales, noticieros nacionales e internacionales así como por el mismo grupo “Pak Cyber Thunders” a través de sus redes sociales.

rs

De igual forma se corrobora el ataque por la web “zone-h.org” (un sitio web que contiene un repositorio de defacements).

1

¿Qué sucedió?

La afectación de un servidor que aloja varios sitios web estrictamente informativos de gobiernos locales de Costa Rica.

lookup

En cinco sitios informativos se perpetuo un ataque informático conocido como defacement (“modificar o alterar la apariencia del sitio web”)

2

Supongamos el ¿Por qué atacan sitios web del Gobierno de Costa Rica?

  • El situación se generó tras la tensión entre Estados Unidos e Irán por el acuerdo nuclear.
  • La amenaza de los hackers incluye a los países aliados a Estados Unidos. Esto coloca a Costa Rica en una lista negra. Especialistas consideran los ataques con fines políticos en el caso de Costa Rica los sitios (.go.cr) afectados son de instituciones gubernamentales.

Post- Defacement (Respuesta al Incidente)

  • El día 14 se reunieron expertos en Ciberseguridad y responsables en la temática de distintas instituciones del país convocados por el Ministro del MICITT para atender de manera oportuna los reportes de incidentes

En la reunión se presentaron representantes del MICITT, del Instituto Costarricense de Electricidad (ICE), del Organismo de Investigación Judicial (OIJ), del Ministerio de Seguridad Pública (MSP), de la Dirección de Inteligencia y Seguridad (DIS) y de NIC Costa Rica (administrador de los dominios .cr)

      Las instituciones acordaron:

  1. Establecer un grupo de trabajo para fortalecer la gestión de los incidentes y proponer soluciones correctivas.
  2. Un plan remedial a las instituciones afectadas.
  3. Formalizar de un protocolo de comunicación de las entidades.
  • Actualmente los sitios afectados han sido restablecidos.

Sigamos avanzando…

Guardemos este acontecimiento para evidenciar la importancia de impulsar un CSIRT-CR (centro de respuesta a incidentes) y la formulación de un protocolo para dar respuesta a incidente semejantes.

“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores”
     Kevin Mitnick

 

Tip ¿En que grupo de dominio Windows estoy?

Buenas todas y todos, les ha pasado ¿que necesitan conocer a que grupos de dominio pertenecen ustedes o pertenece algún otro usuario?.

Para lo siguiente abrimos una consola de Windows o ”cmd.exe” y digitaremos el comando señalado:

Conociendo a que grupos de dominio pertenece cualquier usuario:

1.  Comando: net user USERNAME /domain

Nota: Reemplazar USERNAME con el nombre de usuario, sin prefijo de dominio.

Función: Realiza la consulta en el controlador de dominio principal (PDC) del dominio actual, obteniendo información de usuario del dominio.

Resultado: Dentro la información que despliega se encuentra la sesión “Miembros del grupo global” o “Miembros del grupo local” donde encontraremos los grupos de dominio Locales y Globales.

Si deseas solo obtener el nombre de los grupos únicamente podría aplicar filtro a los resultados anteriores ejemplo:

net user USERNAME /domain | findstr “*”

net user

 

Conociendo a que grupos de dominio pertenece el usuario actual:

2. Comando:  gpresult /V

Función: Muestra la configuración de la política de grupo y el conjunto de políticas resultante (RSOP) para un usuario o una computadora.

Resultado: Dentro la información que despliega se encuentra la sesión “El usuario es parte de los siguientes Grupos de seguridad” donde encontraremos los grupos de dominio Locales y Globales.

gpresult

 

3. Comando: whoami /groups

Nota: podríamos identificar por medio de SID (S-1-5-21….) los grupos que perteneces a un dominio.

Función: Despliega los “grupos de usuario” a los cuales pertenece el usuario actual.

Si deseas solo obtener el nombre de los grupos únicamente podría aplicar filtro a los resultados anteriores ejemplo:

whoami /groups /FO LIST | findstr “Nombre”

whoami

Espero que les sea de utilidad este tip de Windows, si conocen alguna otra forma por favor indicárnoslo en sus comentarios. Saludos y Gracias.