domingo, 27 de marzo de 2016

Enumeración de dominios con Sublist3r.

Estimados amigos de Inseguros !!!

En esta mini entrada vamos a analizar la herramienta del señor Ahmed Aboul-Ela - @aboul3la para detectar subdominios en base a los buscadores populares que también trae la posibilidad de realizar fuerza bruta mediante una lista. Sublist3r

Me ha gustado la herramienta porque es rápida y no requiere instalación. Una alternativa a tener en cuenta.

Dependencias y proyecto:

apt-get install python-requests
apt-get install python-dnspython
git clone https://github.com/aboul3la/Sublist3r.git

La ejecución básica pasando dominio:


Espero que os sirva de ayuda en vuestros procesos de auditoria y control.

Gracias por leerme !!!



miércoles, 23 de marzo de 2016

Tsusen. Herramienta para detectar tráfico anómalo.

Estimados amigos de Inseguros !!!

En el episodio de hoy vamos a jugar con una herramienta del señor Miroslav Stampar llamada Tsusen para monitorizar el tráfico de red de nuestro equipo expuesto a Internet y detectar patrones de comportamiento raros. El propio autor define la herramienta como:



Tsusen (津波センサー) is a standalone network sensor made for gathering information from the regular traffic coming from the outside (i.e. Internet) on a daily basis (e.g. mass-scans, service-scanners, etc.). Any disturbances should be closely watched for as those can become a good prediction base of forthcoming events. For example, exploitation of a newly found web service vulnerability (e.g. Heartbleed) should generate a visible "spike" of total number of "intruders" on affected network port.

Para comprender la capacidad de esta sencilla herramienta vamos a ponerla en marcha en un equipo y vamos a escuchar al mundo.

sudo apt-get install python-pcapy
sudo pip install python-geoip python-geoip-geolite2
cd /tmp/
git clone https://github.com/stamparm/tsusen.git
cd tsusen/
sudo python tsusen.py


En el fichero tsuse.conf podemos modificar la configuración del interface de red que queremos poner a la escucha, puertos o direcciones ip que queremos excluir del informe, y el puerto del servidor web. Serivor web? Si, la potencia de la herramienta reside en ofrecernos un conjunto de gráficas y datos ya analizados en un webserver.

Ahora es cuando realmente vemos el por qué usar esta tool. Nos facilita gráficamente el número de direcciones ip que "han tocado" a algún puerto. Nos guarda todos los datos de ip-origen-destino-puertos y sobre todo, nos guarda el campo "primera vez visto" y el "última vez visto" además de un contador. Todo ello gráficamente para nuestros reportes y análisis.



Muy útil para no sobrecargar el firewall con las reglas y el log/siem. Muy útil para sistemas aislados o honeypots. Como podemos configurar que puertos obviar, podemos quitar los sistemas en producción y dejar algún puerto menos habitual, o cualquier necesidad que se te ocurre.

Espero que os guste. Gracias por leerme !!!




Honeypots XV.Conpot. Gasolineras, Scada... Honeypot y algunos Metasploit

Estimados amigos de Inseguros !!!


Hemos hablado en este blog en alguna ocasión que otra sobre sistemas Honeypots. Ya sabeis, sistemas que emulan ser servicios en producción  con el único fin de detectar ataques, distraer al enemigo, levantar alarmas etc. Puedes leer más en profundidad por aquí:

1234 ,56 , 7. 8 9 11 12 1314 

En esta ocasión vamos a desplegar un sencillo Honeypot que simula ser un sistema Scada con diferentes configuraciones. El nombre del sistema es Conpot y es del creador de Glastopf como ya vimos aquí. Teniendo un vídeo, porque seguir yo?





La instalación es muy sencilla, siguiendo el manual claro. teniendo la versión Debian y por si alguien se ha equivocado, sobre Ubuntu :-)

Los ficheros de configuración andan un poco ocultos, bajo:  /usr/local/lib/python2.7/dist-packages/conpot/conpot.cfg y /usr/local/lib/python2.7/dist-packages/conpot/templates/default en el caso de la plantilla por defecto.

El sistema nos permite ampliar las plantillas. Por defecto aparecen estos sistemas PLC:


Como siempre os recomiendo visitar los ficheros y adaptar posibles configuraciones a vuestros sistemas, por ejemplo si queréis cambiar algún banner o puerto, o cualquier otra cosa. Para esta prueba vamos a seguir los pasos básicos. Uno de los básicos podría ser habilitar el syslog pero siendo un honeypot aislado, me conformo con acceder al conpot.log para extraer las direcciones ip y llamadas.

Por si no os habéis fijado, el guardian_ast es un sistema de control de gas que sufrió varios ataques detectados a mediados del 2015. Podéis leer el trabajo de la gente de Trend Micro aquí. Más adelante lo veremos. Por ahora vamos a ver el Honeypot por defecto de un Siemens PLC.

Ejecutamos.


Solo por saber que estamos haciendo, el sistema imitado corresponde a este PLC de Siemens. 


El acceso web tiene esta pinta.



Y para comprobar el resto de puertos de comunicaciones del PLC realizamos un NMAP

PORT      STATE    SERVICE
80/tcp    open     http
102/tcp   open     iso-tsap
161/tcp   filtered snmp
502/tcp   open     mbap
623/tcp   closed   oob-ws-http
47808/tcp closed   unknown

Host is up (0.18s latency).
PORT      STATE         SERVICE
161/udp   open          snmp
623/udp   open|filtered asf-rmcp
47808/udp open|filtered bacnet

No hubiera hecho mucha falta realizar las pruebas. en 1 minuto ya tengo un MassScan indizando el honeypot.


Vamos a usar un módulo de Metasploit para scanear la red en busca del servicio IPMI que por supuesto emula nuestro honeypot.


He comprobado el log y el honeypoy no detecta el ataque de cipher_zero que lanzo con el módulo use auxiliary/scanner/ipmi/ipmi_cipher_zero. Tampoco detecta el fallo de dumpeo de hashes explotado mediante el módulo use auxiliary/scanner/ipmi/ipmi_dumphashes

Podemos conectarnos mediante un cliente simple del protocolo Modbus e intentar cambiar parámetros del supuesto PLC.


Si disponemos del sistema de control del fabricante podemos interactuar un poco más mediante su protocolo de comunicación pero no he podido descargar legalmente el software de Siemens.

Ahora vamos a jugar con la plantilla Guardian_ast, la que emula ser una gasolinera con sus surtidores. Tener este honeypot en funcionamiento creo que aporta información de inteligencia de primera mano ya que no es un simple portscan masivo de Internet hecho por cualquier. Bajo mi punto de vista si alguien te escanea este servicio, e intenta interactuar con comandos conocidos. algo busca.

Para realizas las pruebas, lo mejor es ejecutar el honeypot y atacar mediante un cliente como netcat o similar. Os paso una lista de comandos que he probado. La lista completa la tenéis en el documento de Trend Micro





.
Las mentes calientes malignas malosas que estáis pensando en barrer la red al puerto 10001 para buscar estos sistemas, recuerda que Shodan lo hace gratis para nosotros, y detecta muchos. Imagino que después del estudio y la publicación del Honeypot, muchos serán fakes. La cuestión sería tirarle comandos que no estén contemplados en el Honeypot, pero que si sean del fabricante, lo mismo haces bingo, regalas gasolina y vas a la cárcel :-)





Espero que os haya gustado este artículo.

Gracias por leerme.














lunes, 21 de marzo de 2016

ESTUDIO SOBRE EL ESTADO DE LA SEGURIDAD DE 100 EMPRESAS y ORG. PUBLICOS DE LA REGION MURCIA

Estimados amigos de Inseguros !!!

Voy a publicar un pequeño estudio que he realizado sobre las empresas de la Región de Murcia y el estado de su seguridad en el ámbito Web, y sobre todo, con tecnología OSINT.



En el estudio he analizado 100 empresas de Murcia. En un principio me iba a enfocar en las 100 empresas con mayor facturación, información publicada en Internet.


Las principales empresas de la Región de Murcia son industrias alimenticias.
Para hacer más interesante el estudio he modificado este "top 100" para incluir empresas de renombre nacional, empresas públicas, ayuntamientos, empresas de informática y en concreto de seguridad informática, sectores importantes como transporte, sanidad, ocio regional, etc.

Los resultados del estudio no tienen porque tener una relación directa en el nivel de seguridad de las organizaciones analizadas.

Los indicadores que se han comparado son los siguientes:

1.- Acceso desde la red TOR.
2.- Uso obligatorio de HTTPS en el portal web inicial.
3.- Uso voluntario de HTTPS en el portal web inicial.
4.- Madurez de la implementación HTTPS.
5- Detección de User-Agent malicioso como NIKTO.
6.- Fingerprint de servicios web.
7.- Uso de cabeceras de seguridad:
7.1.-Content Security Policy
7.2.- X-Frame Options
7.3.- X-xss protection.7.4.- X-Content Type Options

El estudio se ha realizado sin emplear ninguna herramienta automática de obtención de información.
La información se ha realizado con la simple navegación por la web principal, sin buscar vulnerabilidades o cualquier otro intento de intrusión.

Para la calidad de la implantación https se ha usado el servicio público de la empresa QUALYS usando la opción de no registrar.

Para analizar las etiquetas relacionadas con la seguridad de la cabecera web y el fingerprint se ha usado el servicio público SecurityHeaders.io

Para analizar el acceso a la red Tor se ha usado un navegador Tor.

Para analizar la detección de user-agent malicioso se ha cambiado dicho parámetro en el navegador web.

El estudio no tiene ningún fin comercial, ni está patrocionado por ninguna empresa o marca.

El estudio sobre el tráfico HTTPS se ha enfocado en la página principal de la empresa. Muchas de las organizaciones analizadas emplean portales de compras, de acceso corporativo, etc y en muchos casos se usa la tecnología HTTPS.

El objetivo del informe es realizar de manera homogénea una aproximación, sin entrar en detalle.

Desde mi punto de vista, todo el tráfico debería comenzar con HTTPS, sea privado, autenticado, revele información confidencial o sea contenido estático. Todo el tráfico que sea susceptible a manipulación como es el HTTPdebería no usarse.

LOS DATOS

El primer indicador analizado es el tráfico que proviene de la red de anonimato TOR.

No todos los expertos en seguridad están a favor de bloquear este tráfico. Recordamos que el tráfico de la red TOR o Deep Web tiene como finalidad el anonimato. El anonimato puede ser legítimo si hablamos de visitas desde países con censura y poca liberta de expresión, pero sobre empresas comerciales suele ser usada para proporcionar anonimato a los atacantes.


Solo 9 de los 100 portales auditados bloquean el acceso desde la red TOR. Como he dicho esto puede ser una opción del administrador del sitio y no un indicador de seguridad, pero para mi es un indicio de la gestión del sitio. Las empresas que han detectado el tráfico desde la red TOR han sido aquellas que usan sistemas CDN y de protección en capa 7 como CloudFlare. Esta imágenes simplemente introducen un Captcha para obligar al usuario a validarse como humano y no como herramienta.

Ningún organismo público ni empresa tecnológica filtra el acceso desde la red TOR.

El siguiente indicador analizado ha sido la obligatoriedad de uso de tráfico HTTPS en el portal inicial.


Solo el 5% de las empresas analizadas redirigen al usuario al portal HTTPS.

Se comprueba si es posible el acceso introduciendo manualmente HTTPS en el dominio. Los resultados revelan un 25% de sitios que permiten el acceso "voluntario" por HTTPS a sus portales web.


En este apartado he encontrado una cantidad de fallos de seguridad dignos de mencionar. No sobre las empresas que ofrecen la posibilidad, sino sobre las que no. Todos sabemos que cuando empleamos HTTPS estamos accediendo a un puerto distinto que con HTTP, y en este sentido me he encontrado con accesos "privados" de todo tipo como Citrix, portales de administración, hosting compartidos con curiosos compañeros, etc.

Como curiosidad decir que solo 1 de las 10 empresas de base tecnológicas analizadas permite el tráfico HTTPS. Como siempre en casa de herrero cuchillo de palo.

De las 25 empresas que permiten el tráfico HTTPS no todas lo hacen bien. La mayoría lo hacen mal.

Sospecho que solo unas 4 o 5 usan realmente bien el tráfico HTTPS y el resto lo ofrecen simplemente porque será una opción por defecto en sus instalaciones o proveedor de servicio de hosting.


La calidad se mide desde A++, A+, A, B, C y así hacia adelante en el alfabeto.

El estudio revela que dada la mala configuración, el uso de HTTPS en estas empresas por debajo de C solo ocasiona gasto computacional en el servidor, porque no proporciona cifrado real en la comunicación cliente-servidor.

En la cuestión de implementación del tráfico HTTPS cabe destacar en positivo la implementación de Podemos Murcia consiguiendo una nota de A+ .



La tabla final de solo los que implementan la posibilidad de tráfico HTTPS en sus portales web sería así:

EMPRESA WEB SECTOR EMPRESARIAL REQ SSL SSL-score
PODEMOS https://rmurcia.podemos.info/ POLITICA NO A+
CASA DE LA ERMITA www.casadelaermita.com BODEGAS SI A
EL CARCHE https://www.haciendadelcarche.com/es/inicio/ BODEGAS SI A
PC COMPONENTES www.pccomponentes.com TECNOLOGIA NO A
HERO www.hero.es ALIMENTACION NO B
VIRGEN DEL ALCAZAR https://www.virgendelalcazar.com/ SANIDAD SI B
J GARCIA CARRION https://garciacarrion.com/es ALIMENTACION SI C
UMU http://www.um.es/ EDUCACION NO  C
CC NUEVA CONDOMINA http://www.ccnuevacondomina.com/ OCIO NO C
PSOE http://psoe-regiondemurcia.com/web/index.asp POLITICA NO C
AYTO. MURCIA www.murcia.es PUBLICO NO C
EMUASA http://www.emuasa.es/inicio.asp PUBLICO NO C
AYTO. LORCA www.cartagena.es PUBLICO NO F
MURCIASALUD http://www.murciasalud.es/ PUBLICO NO F
CARM http://www.carm.es/ PUBLICO NO F
MOLINA DE SEGURA http://www.molinadesegura.es/ PUBLICO NO  F
QUIRON MURCIA http://www.quironsalud.es/hospital-murcia SANIDAD NO F
HEFAME www.hefame.es VARIOS SI F
NOLY CONSERVAS www.conservasnoly.com ALIMENTACION NO T
EL LIMONAR http://ellimonarinternational.com/ EDUCACION NO T
AYTO. CARTAGENA www.lorca.es PUBLICO NO T
CLINICA MUÑOZ http://www.clinicamunoz.com/ SANIDAD NO  T
SAN JOSE http://www.viamedsanjose.com/ SANIDAD NO T
DISFRIMUR http://www.disfrimur.com/es/ TRANSPORTE NO T

Otro de los indicadores que he creído merecedor de comentar es el bloqueo de User Agent maliciosos. 

Cualquier sistemas de protección en capa 7 como un WAF que se haga merecedor de su nombre debe bloquear el uso de User Agents empleados por herramientas populares, como pueda ser NIKTO, W3af y similares. 

El no cortar el tráfico desde User Agent NIKTO demuestra seguridad por casualidad, es decir, que las cosas van porque dios lo quiere... Este es el porcentaje de empresas que gestionan adecuadamente este aspecto:


NINGUNA de las empresas que venden seguridad o firewalls, o UMT´s o informática en general implementa esta medida de protección. 

Solo un organismo público, el ayuntamiento de Molina de Segura ha cortado el tráfico empleando este User Agent.

En el indicador de Fingerprint si podemos establecer una relación directa con la seguridad. Para mi revelar la información de versión de sistema operativo, motor php/asp, módulos, CMS usado ya es un fallo. Puede ser que la seguridad por casualidad te lleve a tener un sistema actualizado o libre de exploits públicos, pero esto puede ser circunstancial y sin duda revela una falta de cariño o mimo hacia este aspecto.

La medida empleada ha sido 3 niveles. El más bajo revela la información a golpe de click. El nivel intermedio revela parcialmente la información. El nivel alto no revela información.

Dada la naturaleza del test no significa que tenga bien las medidas anti-fingerprint. Simplemente analiza ejemplos CATASTROFICOS a primera vista, de manual.

En este apartado las empresas tecnológicas se sitúan 50/50 entre nivel bajo y medio.

Respecto al uso de cabeceras de seguridad aquí es donde he encontrado que ninguna empresa cumple al 100% con la seguridad que podrían ofrecer con medidas MINIMAS.

NINGUNA empresa contaba con las 4 cabeceras configuradas de manera correcta.

NINGUNA empresa contaba con 2 de las cabeceras configuradas de manera correcta.

NINGUNA empresa tecnológica usaba 1 o más cabecera configurada de manera correcta. Este dato es revelador de la preocupación de las mismas.









MIS CONCLUSIONES

Me apena ver como estado general de las 100 organizaciones analizadas es un suspenso como una casa.

Empresas tecnológicas que venden sistemas y realizan desarrollos. Empresas que venden seguridad perimetral e incluso auditorias. Universidades públicas y privadas que forman a los futuros profesionales. No me cabe en la cabeza que este tipo de empresas no tengan estos indicadores BASICOS perfectos. Se pueden escapar algunos detalles, pero todas están muy muy suspensas.

Recuerdo que estos datos se han obtenido de manera legal con información pública en Internet. No se han realizado Port Scan, análisis de vulnerabilidades ni cualquier otra acción directa para medir la seguridad, esto es LO SUPERFICIAL, lo FÁCIL, lo que TODAS deberían tener aprobado.

El sector público se merece otra mención especial negativa ya que emplean recursos en comprar firewalls. Licitaciones en software de seguridad. Contratos con empresas de servicios mas su propia plantilla de funcionarios a sueldo. No es un estudio del Esquema Nacional de Seguridad, que tampoco lo pasan, pero me parece vergonzoso que servicios públicos no cuiden a sus ciudadanos con medidas GRATUITAS como estas. Repito lo de falta de mimo, no de presupuesto.

Espero que os haya gustado el análisis, a mi no, me cabrea. me cabrea mucho.

Es más, se que a muchas personas no le va a gustar ver el nombre de su empresa en la lista, pero espero que todos los "afectados" se lo tomen como deben, MEJORAR el estado de la seguridad de sus organizaciones. Siempre estoy dispuesto a ayudar a la gente, SIEMPRE, casi siempre gratis. Si necesitas ayuda pídela.

Si cualquier organización o persona responsable se ha sentido molesta con el informe puede contactar conmigo por las vías habituales.

EMPRESAS ANALIZADAS

AGE 2 http://www.age2.es/
AGROMEDITERRANEA www.agromediterranea.es/
AQUILINE http://www.aquiline.es/web/
AYTO. ALCANTARILLA http://www.alcantarilla.es/
AYTO. CARTAGENA www.lorca.es
AYTO. LORCA www.cartagena.es
AYTO. MAZARRON http://www.mazarron.es
AYTO. MURCIA www.murcia.es
BITEC http://www.bitec.es/
BODEGAS GIL http://gilfamily.es/
CAMPILLO PALMERA http://www.campillopalmera.com/
CARM http://www.carm.es/
CASA DE LA ERMITA www.casadelaermita.com
CASH EUROPA www.casheuropa.com
CC NUEVA CONDOMINA http://www.ccnuevacondomina.com/
CC THADER http://www.thader.net/
CIUDADANOS http://murcia.ciudadanos-cs.org/
CLINICA MUÑOZ http://www.clinicamunoz.com/
CONSERVAS EL RAAL www.conservaselraal.com/
DISFRIMUR http://www.disfrimur.com/es/
DROIDERS http://www.droiders.com/es/
EL BATEL http://auditorioelbatel.es/
EL CARCHE https://www.haciendadelcarche.com/es/inicio/
EL LIMONAR http://ellimonarinternational.com/
EL MOSCA http://elmosca.es/
EL POZO www.elpozo.com
EL POZO MURCIA http://www.elpozomurcia.com/
EMUASA http://www.emuasa.es/inicio.asp
ESTRELLA DE LEVANTE www.estrelladelevante.es
FINI GOLOSINAS www.fini.es/es
FIRMAMED http://www.firmamed.es/
FRANCISCO ARAGON http://www.franciscoaragon.com/
FRIPOZO www.fripozo.com
GARCIA ARANDA www.garciaaranda.com/
GARSAN CEREALES Y HARINAS www.cyhgarsan.com/
GOLDEN FOODS www.goldenfoods.es
GRUPO HUERTAS http://www.grupohuertas.com/
GRUPO SADA www.sadagrupo.com/
GUILLEN HERMANOS http://guillenhermanos.com/
HARIMSA http://www.harimsa.es/
HEFAME www.hefame.es
HERO www.hero.es
HIDA www.hida.es
HIMOINSA www.himoinsa.com/
HOSPITAL BERNAL http://hospitalbernal.com/
HOSPITAL DE MOLINA http://www.hospitaldemolina.es/
HOSPITAL LA VEGA http://www.hospital-lavega.es/
INFORGES www.inforges.es
ITETE http://itete.info/
IU http://www.iuverdes.es/
J GARCIA CARRION https://garciacarrion.com/es
JIMENEZ GODOY http://www.jimenezgodoy.com/
JUAN JIMENEZ www.juanjimenez.com/jisap/
JUVER http://www.juver.com/
LAVIA http://mgwinesgroup.com/bodegas-lavia/
LIMCAMAR http://limcamar.es/
LINASA www.linasa.es/
LINASA http://www.linasa.es/
LIWE www.liwe.net/
LORCA DEPORTIVA http://www.lorcadeportiva.es/
LUZON http://www.bodegasluzon.com/espanol/main.php
MARVIMUNDO http://www.marvimundo.com/
MESA DEL CASTILLO http://www.mesadelcastillo.com/
MIVISA www.mivisa.com
MOLINA DE SEGURA http://www.molinadesegura.es/
MORALES http://www.frigorificosmorales.com/
MURCIASALUD http://www.murciasalud.es/
NEW CASTELAR http://www.newcastelar.com/
NOLY CONSERVAS www.conservasnoly.com
ONE TELECOM http://www.onetelecom.es/
ORENES GRUPO http://www.orenesgrupo.com/
PC COMPONENTES www.pccomponentes.com
PEÑALVER penalver.com
PLASTICOS ROMERO http://www.plasticosromero.com/
PODEMOS https://rmurcia.podemos.info/
POLLOS PUJANTE www.pujante.com/
PP http://www.ppmurcia.org/inicio.asp?ipag=1
PRAMAC www.pramac.com
PRIMAFRIO http://primafrio.com/
PSOE http://psoe-regiondemurcia.com/web/index.asp
QUIRON MURCIA http://www.quironsalud.es/hospital-murcia
REAL MURCIA http://www.realmurcia.es/rm/inicio/
REDYSER http://www.redyser.com/
RICARDO FUENTES http://www.ricardofuentes.com/
SAN ISIDRO http://www.bsi.es/
SAN JOSE http://www.viamedsanjose.com/
SOFKIA http://www.sofkia.es/
SOLPLAST http://www.solplast.com/
SOS http://sos48.com/
TEATRO ROMEA http://www.teatroromea.es/
TERRA NATURA http://www.terranatura.com/
UCAM FC http://www.ucamdeportes.com/ucamcf/
UCAM  http://www.ucam.edu/
UMU http://www.um.es/
VIDAL GOLOSINAS www.vidal.es/
VIRGEN DE LA CARIDAD http://www.cmvcaridad.com/
VIRGEN DEL ALCAZAR https://www.virgendelalcazar.com/
XTI http://www.xti.es/
ZADIBE http://www.zadibe.es/


miércoles, 16 de marzo de 2016

Seguridad por casualidad. ¿ Necesita mi empresa una auditoria de seguridad?

Estimados amigos de Inseguros !!!

A lo largo y ancho de la geografía hablo con empresas de todo tipo. Con usuarios, con CEO´s y todo tipo de gerentes, con administradores de sistemas, con responsables de seguridad, con el portero del edificio, quien me conoce sabe que hablo por los codos :-)

En muchos casos me encuentro con la negativa desde todos los escalafones de la empresa a investir en seguridad. Que el responsable financiero, ejecutivo, de departamento,etc tenga sus reticencias, es normal. Vivimos en la crisis permanente en el mundo de la seguridad, y en general en el IT. El mismo presupuesto en un mueble o en un coche se acepta, y en una compra IT se revisa y revisa y se busca el "2.0" es decir, no pagar nada. Que el compañero técnico en mayor o menor grado de responsabilidad también se reticente a realizar una auditoria, me parece de escándalo. La haga el, la haga yo, la haga la empresa de la competencia, o quien sea !!!

Voy a empezar esta reflexión comparando el mundo "none-tech". Pongamos el ejemplo de la contabilidad de la empresa. No conozco a NINGUNA empresa que tenga un contable en plantilla, técnico que se dedica a realizar apuntes a diario, su gestión bancaria, facturas, cheques, etc, y que no cuente con una asesoría EXTERNA que guíe y controle los movimientos fiscales de la compañía, lo que viene siendo la ingeniería contable.


Si la empresa factura creo que 12 mill.€ o más, está obligada a realizar una auditoria externa para comprobar el buen funcionamiento.

Vamos a bajar un escalón más. RRHH. Conoces alguna empresa que tenga un sistema de auditoria continua al empleado, mediante control de acceso? Fichar al entrar y a salir?.

Vamos a bajar un escalón mas aún !!! Cámaras de vídeo vigilancia. Conoces alguna empresa que tenga una cámara ip conectada en algún punto?

Vamos a bajar un escalón mas, a ras del suelo. Una caja fuerte !!! Conoces empresas que haya una caja fuerte? no pienses en una de esas empotrada en la pared tras el cuadro. Piensa en una cajita de caudales con llave en el cajón de un despacho...

Todo esto son medidas de control, de auditoria, de seguridad !!!

El perfil de una empresa mediana, mediana en informática es 50/150 equipos para mi, suele ser un rango de ip públicas, 4, 5, 25, un /24 ... unos cuantos dominios, unas cuentas sedes, y un puñado de aplicaciones web y servicios.

Por lo general me suelo encontrar con que el portal de la empresa, el www.com es un CMS actualizado, o medianamente actualizado, pero no en versiones con exploit o fallos públicos. Si fueran públicos, ya los hubieran hackeado. El informático de vez en cuando actualiza el "wordpreee" pero no tiene un proceso que le notifique y por supuesto, no realiza anti-fingerprint ni cualquier otro tipo de fortificación. Los mas temerarios te contestan que como está en un hosting externo, la seguridad no es su problema.... bieeeeeeeeeeeen cuando te pongan un defacement con la foto de un islamista en tu web escribes una nota de prensa diciendo que la culpa es de tu hosting...

Los hay que tienen algún plugin anti brute force... pero no quitan el xmlrpc, bueno eso son muchos detalles.


En la parte perimetral, suelen tener un forti o mikrotik o similar, haciendo el trabajo de ROUTER y NAT , clásico, lo que se supone que viene antes de los NG-Firewalls. TODO lo que esté nateado, permitido, sin ningún control. Eso si, el appliance de seguridad tiene de todo, pero no está activado. El comercial lo vendió, se puso un día pero como no se podía navegar o mandar correos, se apagó todo y se dejo como un router de telefónica xD bieeennnn para eso si gastamos dinero.

Depende de la inversión que hicieran en este aparato, y el tiempo que hace de ello, el responsable de turno te contestará que están ya protegidos...

Si hace mucho que tienen el equipo en cuestión, aparecerán todo tipo de NATeos sin controlar, desde un RDP de algún comercial, algún portal de pruebas publicado hace tiempo, incluso el trabajo de becarios o amigos del jefe...

Como es normal, estos equipos no detectan redes de anonimato ni escaneos de puertos y las típicas baterías de pruebas ruidosas y escandalosas.

La parte de aplicaciones y servicios web suele ser un poema. Algunos no saben aún que se pueden escanear los 65500 puertos tcp y no solo los 1024 primeros !!! Esconder una app en el puerto 6666 no servirá de nada, Bueno quizás un novato piense en un servidor de IRC.


Estas aplicaciones suelen estar desarrolladas por el informático de turno de la empresa, o por el informático de turno de otra empresa proveedora externa, y no siempre muy bien diseñada. Aquí suele estar el filón en el test de intrusión ya que son cosas "que las llevas la otra empresa" y ahí es donde aparecen los webservers tomcat sin actualizar, los IIS, Sql server, mongo, webservices sin auth, etc etc.

Por supuesto que montar un WAF para estos sistemas es impensable, Puedes encontrar desde una webshell fácil, leaks de información sensible, y a las malas, la posibilidad de pasar 24 horas pasando scripts y pruebas, intentos de login, denegaciones de servicio, y el informático almorzando tranquilamente en el bar.

Puede ser que tras un proceso de auditoria o intrusión consigues cocina, entrar al segmento interno. Muchos informáticos entienden que si un atacante consigue entrar a la red interna, está todo perdido, pero sin embargo cuando les ofreces hacer un test interno para ver el alcance que tendría la intrusión, y sobre todo, como defenderse o minimizar el impacto, te dicen que no, porque lo importante es lo externo...

Algunos se ofenden si le muestras que el proceso de intrusión se produjo por una falta de actualizaciones, o por una contraseña débil o por defecto, o por una validación de usuario en un js de lado de cliente, cualquier Owasp Top 10 o cualquier aberración de las que nos encontramos los auditores. Pero no se ofenden al mirarse al espejo y saber que tienen estos fallos y no solucionarlos.

Vivimos en un mundo en el que debemos proteger nuestras organizaciones en internet de una cantidad ingente de posibles atacantes. Si un guardia de seguridad protege tu empresa por 25.000€/año solo 8 horas al día, para una posible masa de "atacantes" reducida a los 100/500/1000 manguis que haya en tu ciudad, el coste de defender la seguridad de tu empresa ante millones de posibles atacantes creo que debería ser al menos, equiparable.


Muchos de mis amigos son administradores de sistemas y no pretendo con esto decir que tengan que contratar servicios de auditoria caros. Puedes hacerlos tu. Simplemente usan artículos con procedimientos que hay en las mil páginas que hay, y aplica eso a tu empresa. Si no sabes como hacerlo pide ayuda, fórmate !!! pero no vale : me han hackeado pero ha sido por una tontería de wordpress sin actualizar. Esta bien, es una tontería técnica, pero la has permitido.

Uno de los problemas que hay en las medianas empresas es que se ve al departamento IT como los raros de la película. Ya sabes, hablamos en lenguajes raros y somos la mar de sociales !!!

Generalmente me encuentro con CEOs y consejos de dirección con una confianza 100% en sus chicos IT. En el informático!!!! Muchos hasta le temen, porque es el único que sabe como van las cosas y si le tocas la moral mucho se cabrea y me deja tirado...

Usar los servicios externos de auditoria de seguridad es una ayuda para la empresa y para el departamento IT en el proceso de seguridad de la empresa. Hay de todo tipo de precios y características, el dinero no debería ser una escusa para realizar este tipo de prácticas.

Espero que si administras, diriges, manejas, supervisar cualquier departamento en cualquier empresa tengas en cuenta estas reflexiones, y consideres al menos iniciar algún proceso de auditoria de seguridad interno o externo, pero no dejes en manos de los chicos malos la seguridad de tu empresa, porque "la otra parte del mundo" está solo a un click de tus datos.

Espero que os hayan gustado las reflexiones y os animo a comentar vuestras experiencias, tanto a la hora de contratar servicios como de ofrecerlos.

Gracias por leerme !!!