Defacement en el sitio de la Comisión de Energia Atomica (cea)

Buenas todas y todos, el sitio Web de la Comisión de Energia Atomica (cea) que se dedica a “Servicios de asesoría de calidad en los usos pacíficos de la energía nuclear en Costa Rica”,  es víctima de un defacement esto según datos recopilados de la pagina http://www.zone- h.org; este sitio esta dedicado a recopilar defacements.

2

Según se aprecia en la siguiente imagen una página del cea aparece con un texto de reclamo referente al  “Silencio Mundial en lo ocurrido en Siria”  el defacement se atribuye a BL4ck_Knight From Giant’s ps Team.

1

Se pudo comprobar el ataque reportado por www.zone-h.org utilizando una herramienta en linea tal como se muestra la siguiente imagen.

3

NOTA: Se ha notificado al administrador del sitio web del descubrimiento, al escribir esta publicación.

Saludos, comparte y comenta!

Anuncios

Tip de Seguridad: Ocultar instancia de SQL Server

Buenas a todas y todos, a continuación se presenta una recomendación de seguridad para instancias de SQL Server, la medida permite ocultar las instancias de SQL Server disponibles en la red, esta medida es aplicable o recomendable en caso que sea necesario tener habilitado el SQL Browser.

Ofuscar el servicio SQL Server a conexiones externas

Es común pensar al detener el servicio SQL Server Browser para dificultar la labor de detección de instancias de SQL Server en la red. Ciertamente este servicio si es detenido, producirá que no podamos realizar consultas a ningún sitio para determinar el puerto y nombre de instancia al que conectamos.

1

SQL Server utiliza el servicio SQL Browser para enumerar/descubrir las instancias del motor de base instalada en el equipo. Esto permite a las aplicaciones cliente buscar un servidor y ayuda a los clientes. El problemas de detener el servicio de SQL Browser es que dicho servicio no solo es utilizado para eso, sino que al detenerlo puede dar lugar a verdaderos problemas en escenarios (clustering, Conexiones DAG con nombre de instancia, etc…)

Como se visualizan las instancias de SQL Server desde un cliente ODBC:

2

Como se visualizan las instancias de SQL Server desde la pantalla de conexión a servidores SQL:

3

Lo cierto es que no es necesario detener el servicio para “ofuscar/ocultar” las conexiones hacia SQL Server puesto que a nivel de protocolos de red es posible marcar la instancia como “oculta” de forma que solo conociendo su nombre de instancia y puerto seamos capaces de conectarnos a ella.

Según se puede ver en la imagen, al hacer clic sobre “Propiedades Protocolos de <<Nombre Instancia>>”. Disponemos de la opción de ocultar la instancia (que predeterminada está a “No”).

4

Para ocultar la instancia seleccionamos “Si” y presionamos el botón “Aplicar”, recuerde reiniciar el servicio de SQL Server para aplicar los cambios correspondientes.

5

Con esta medida no debemos tener la falsa sensación de que el servicio se encuentra a salvo de detectores de SQL Server, pero al menos se lo ponemos más difícil, esta es una medida que debe aplicar junto a algunas otras (Cambio de puerto predeterminado, Permisos de Usuarios, Deshabilitar usuarios predeterminados, Auditorias de Secciones, Cifrado Contenido y Conexiones etc…)

Medida aplicada:

6

7

Referencias:

Saludos, Comparte y comenta!!

 

 

 

 

 

 

 

 

Búsquedas Internet de documentos con firma digital

Buenas a todas y todos, hoy les escribiré sobre algo podría que considerarse un leak de información puede presentarse en las organizaciones o gobierno o individuo con documentos firmados digitalmente.

“La firma digital que es agregada a un documento lleva los datos de ¿quién? firmo entre otro datos, que son parte del certificado digital.”

Se puede identificar datos como: ¿quién? o ¿dónde? o ¿cuándo?

  • Cédula o ID.
  • Nombre persona Física u Organización.
  • Puesto o Cargo que desempeña.
  • Nombre de Unidad o departamento.
  • Emisor de Certificado.
  • E-mail.
  • Otros datos de contacto.
  • País de Procedencia, Estado.
  • Validez (Inicio y Final).

Se puede realizar búsquedas en Google o algún otro buscador de internet de documentos indexados, estos pueden significar un leak de información no deseado, por la cantidad de datos personales que acompañan un documento firmado.

Localización o Seguimiento

  • Las organizaciones o gobierno pueden localizar donde se han publicado e indexado documentos que han sido firmados con sus certificados.
  • Puedes realizar búsquedas en búsquedas en Google o algún otro buscador de internet para saber si algún documento PDF que tú (Persona Física) hayas firmado digitalmente ha sido publicado en la red con datos personales tuyos.

Un ejemplo de documentos firmados puede encontrarlos de esta forma:

site:go.cr ext:pdf “Digitally Signed by”

Con este dork podemos localizar documentos firmados digitalmente referentes al dominio gobierno de Costa Rica.

23

Otro dork podemos localizar documento firmados digitalmente referentes al país CR (Costa Rica).

ext:pdf c=CR “Digitally Signed by”

 

Podemos utilizar el siguiente set de metadatos básicos para realizar búsqueda de documentos firmados digitalmente:

1

 

Saludos, Comenta y comparte!

Defacement en sitio del Consejo Nacional de la Persona Adulta Mayor (Conapam)

Buenas todas y todos el (ayer) dia 15 marzo del 2018, el sitio Web del Consejo Nacional de la Persona Adulta Mayor (Conapam) fue víctima de un defacement.

En la página principal aparece una imagen roja con personajes de una serie de NetF… llamada “La casa de Papel” el defacement se atribuye a Ev!L-r00t.

2

Podemos comprobar la información del defacement en la página zone-h.org. (Un sitio recopila defacements)

1

Actualmente el servicio del sitio Web del Consejo Nacional de la Persona Adulta Mayor (Conapam) ha sido restablecido.

Saludos, comparte y comenta!

 

¿Qué aplico el Active Directory a mi computadora?

Buenas a todas y todos en esta noche les hablare: ¿Como verificar que GPO o directivas de grupo del Active Directory están aplicadas en mi estación de trabajo e usuario?

Existen dos forma de  verificar estas GPO o directivas de grupo, la primera es usando un complemento de Windows de interfaz gráfica el RsoP (Resultant Set of Policy)

RSoP (Conjunto resultante de políticas) es muy útil cuando necesita comprender, simular y probar qué GPO particular se aplica a la computadora o usuario. “

La segunda forma es utilizando una herramienta de linea de comandos de Windows que es bien conocida: gpresult puede ver cuándo se realizaron los cambios más recientes a la configuración de la directiva de grupo basada en Active Directory en una computadora y evaluar la configuración actual.

A continuación mostrare por medio de un ejemplo como verificar las GPO o directivas de grupo que están aplicadas en un equipo especifico. Para el ejemplo mostrare la GPO o directiva de grupo llamada “Configurar la URL de la pagina de inicio” o “+Chrome”  que sera aplicada al browser Chrome.

Way 1. Usando RSoP

Paso 1: Se utiliza las teclas (Windows + R) para llamar el dialogo Ejecutar. En el dialogo Ejecutar de Windows, escribe rsop.msc. Tal como se aprecia en la imagen.

rsop-1

Paso 2: En la siguiente pantalla se extenderá los nodos que contiene las GPO o directivas de grupo que se aplican en nuestro equipo o usuario. En cada nodo podríamos revisar la configuración de cada una de las GPO o directivas de grupo aplicada a este computador o usuario. Tal como se aprecia en la imagen:

rsop-2

Way 2. Usando la linea de comando con “gpresult”

Paso 1: Abrir el cmd y escribiremos en la consola siguiente comando “gpresult /V” el resultado de la ejecución de este comando mostrara las GPO o directivas del grupo que se aplican a nuestra estación de trabajo o usuario

En la siguiente imagen se aprecia el resultado de la ejecución del comando “gpresult /V”  mostrando la directiva de grupo seleccionada para este ejemplo:

rsop-3

Cada GPO o directiva de grupo tiene las siguientes propiedades:

  • Nombre de directiva.
  • Id de carpeta.
  • Valor: Se almacena el valor asociado a esta directiva, el valor para este caso esta codificado en notación decimal para determinar su valor debemos convertirlo en codificación ASCII.
  • Estado: Estado de directivas (Sin configurar, Habilitada, Deshabilitada).

Para revelar  la propiedad “valor” de la  GPO o directiva de grupo en este caso  debemos convertir los valores que están representado en codificación decimal  a  ASCII.

Se puede utilizar cualquier herramienta online para convertir de Decimal a ASCII, la propiedad “valor” de las directivas de grupo. Tal como la siguiente imagen.

rsop-4

Nota: Debe eliminarse los  numeros “0” intercalados de la propiedad “valor” antes de convertirlo a ASCII.

 

Para concluir en nuestra estación de trabajo se encuentra aplicándose la siguiente GPO o directiva de grupo “Configurar la URL de la pagina de inicio” o “+Chrome”  la cual se trata de asignar como pagina de inicio la dirección “http://sharepoint” en el browser Chrome.

Gracias por leerme, comenta y comparte!