Sitio personal de Ariel M. Liguori De Gottig

Friday, June 13

Críticas a Geo-Location

Me he enterado que Secure Computing fortalece su solución de Firewall con la incoporación del sistema Geo-Location, con éste podran determinar la procedencia de las conexiones y en base a ello realizar un filtro basandose en los sitios mas peligrosos de la red.
Realmente esto me parece un metodo absurdo de protección, muy susceptible a errores de "falsos positivos" y sobre todas las cosas no veo una estructura de seguridad en si en esta implemntacion.

Supongamos que nosotros sabemos la localización de los centros de malware (de todos, lo cual es imposible, cada nodo de la red puede ser un posible atacante)entones con el sistema de GeoL. podremos discriminar las solicitudes de cada uno de los lugares cuya procedencia se encuentre en nuestra querida lista (Esperemos aunque sea que el nuevo hardw. tenga soporte para integracion con DB's).
Lamentablemente, debo informarles a la gente que piensa que este es un emtodo seguro que hay algo muy basico que todo atacante utiliza a la perfeccion, los llamados "proxys". Con este podemos desviar nuestro tráfico y hacerlo "salir" por otro nodo, resultado: enmascaramiento de nuestra posicion real en la red.
Otra consecuencia mas: La utilizacion de proxys es muy sencilla, y alguien que facilita esto es el encargado de Working Proxys ;).
Geo-location es una herramienta util para tratar de identificar ciertos datos que precisemos en la red, pero basar una politica de seguridad en él e incluso publicitar su adopcion me aprece algo sin sentido y desprestigiador para quién lo emplee.
Sin animos de ofender a la gente de Secure Computing creo que deberian fortalecer otros aspectos de sus appliances antes de lanzarse a hacer declaraciones que realmente no aportan mucho y ofuscan la claridad de lectores inexpertos.

Fuente: Diario TI
Leer más...

Wednesday, June 11

Nueva variante de GpCode.

Les hago público algo que llego a mis manos en estos días (ayer para ser más precisos).
Una nueva variante del ya conocido GpCode estaría realizando ataques de ransomware tomando como base para la encriptación de nuestros archivos el algoritmo de clave publica RSA con 1024 bits.
Si bien varias empresas ya están alertadas de esto, la utilizacion de este algoritmo complica la posibilidad de romper la clave de nuestros ficheros por lo cual las distintas empresas de AV están tratando de enfocar la solución al problema desde otro punto de vista.

Más información en: Diario TI Leer más...

Tuesday, June 10

Dejando huellas: metadata.

Generalmente se suele pensar que el universo virtual delimitado por la PC solo es eso, un mundo anonimo en donde estamos seguros en nuestro anonimato, en donde el unico que nos ve es el monitor que enfrente nuestro se encuentra. Esa falsa sensacion de unidad aislada compromete a muchas personas que creen obrar sin jamas salir a la luz. Cada archivo lleva nuestro nombre, nuestros datos y todo tipo de informacion a la cual es imposible escapar.

Si, generalmente al modificar diversos archivos modificamos (sin saberlo) un sector de ellos llamado "metadata". La metadata contiene informacion muy importante sobre el usuario, tal es el nivel de dicha informacion que se requiere a ella en analisis forenses para determinar el origen de un ataque, el usuario que la causo, etc.
Esta informacion hoy en dia se encuentra en todo tipo de archivos (hojas de datos, documentos de texto, incluso en las fotos dentro de la camara digital) y en cada caso revelan infromacion precisa sobre el origen de un archivo.
El ejemplo mas comun es el analisis forense sobre fotos digitales, mediante la metadata se peude determinar que camara (y al referirme a está lo hago en la complejidad que puede barcar el termino que permite la selectividad) tomó una fotografia, cuando lo hizo, etc.

Si bien esto brinda informacion mas que interesante en el ambito de los analisis forenses, es posible modificar esta informacion con diversos softwares e incluso con editores hexadecimales, el punto importante que aqui se halla es que la mayoria de las veces quien esta cometiendo una infraccion no sabe que sus huellas estan mas alla de lo tangible y que en ese acto tan lleno de anonimato, tan cubierto de una seguridad irreal se encuentra aquello que lo puede condenar.

La deteccion de la metadata de archivos es hoy en dia una de las herramientas con las que cuenta todo auditor de seguridad y es cada vez una utilidad mas que fiable para la aprehension de intrusos y criminales.
Leer más...