Congreso sobre Seguridad Informática en UniNet


`Fernand0`	`Hola,`
`Fernand0`	`nuestro primer conferenciante para el día de hoy es Raúl Millán, de Panamá.`
`Fernand0`	`Es ingeniero en sistemas de computación, y trabaja como consultor`
`Fernand0`	`independiente de software libre.`
`Fernand0`	`Es el propietario de maslinux.com`
`Fernand0`	`Visitenlo`
`Fernand0`	`, ¡luego, no ahora! ;)`
`Fernand0`	`Queremos agradecer a todos ustedes la asistencia, y a Raúl Millán su`
`Fernand0`	`participación en este congreso.`
`Fernand0`	`Las preguntas pueden hacerse en #qc`
`Fernand0`	`Su conferencia trata sobre "The Open Source Security Testing Methodology".`
`Fernand0`	`Ingeniero,`
`Mopri`	`Gracias, Fernando`
`Mopri`	`Antes de empezar`
`Mopri`	`queria darles el url donde estarà la ponencia una vez que termine de arreglar un par de cositas con el documento`
`Mopri`	`la podran accesar en http://www.maslinux.com/infosec2002/`
`Mopri`	`y los más probable es que para el fin de semana este arriba`
`Mopri`	`bueno.... entrando en materia`
`Mopri`	`Como todos saben la seguridad no es un producto..... es un proceso`
`Mopri`	`historicamente ha sido muy dificil vender ideas que no se pueden tocar, o soluciones que no vienen dentro de una caja`
`Mopri`	`eso requiere cierto nivel de convencimiento y un procedimiento bien definido`
`Mopri`	`Esto lo saben los proveedores de productos y servicios de seguridad, y lo han sabido explotar`
`Mopri`	`cada quien desarrollando su propia teoria, muy parecida una a la otra, de lo que deberia ser el proceso de la seguridad`
`Mopri`	`algunos le llaman Lifecycle Security Model`
`Mopri`	`otros le llaman Secure Harbour`
`Mopri`	`y asi, podemos encontrar muchos documentos y teorias acerca del proceso de la seguridad`
`Mopri`	`sin embargo, todos tienen un defecto en comun, el documento que describe el proceso, se acopla casi exclusivamente a los productos que promueven estas compañías`
`Mopri`	`lo que a veces hace muy dificil obtener un punto de vista imparcial acerca de cual debe ser la mejor implementación de seguridad para nuestras empresas y clientes`
`Mopri`	`y más que todo, cual de estas teorias se puede materializar en el mundo real de manera eficaz`
`Mopri`	`Al igual que ocurrio a principios de los 90 cuando alguien penso en hacer su propio sistema operativo`
`Mopri`	`nosotros, los profesionales de la seguridad, nos encontramos en la encrucijada`
`Mopri`	`o nos alineamos con un vendedor y su libro de teoria`
`Mopri`	`o vemos como hacemos para ofrecer un mejor servicio nosotros mismos`
`Mopri`	`El señor Pete Herzog, encontro la luz al iniciar un documento que hoy abarca casi 100 páginas`
`Mopri`	`diseñado, escrito, y revisado por los profesionales de la seguridad, consultores independientes, y practicamente todo el mundo que quiera cooperar`
`Mopri`	`el resultado: Open-Source Security Testing Methodology Manual`
`Mopri`	`Este documento, se encuentra en su versión 2.0 Release Candidate 6`
`Mopri`	`y nos describe toda una gama de temas y areas que debemos atacar, a la hora de ofrecer seguridad informática`
`Mopri`	`En la actualidad me encuentro en una evangelización dentro de una empresa de 2,500 direcciones IPs`
`Mopri`	`durante esta cruzada estoy promoviendo la implementaciòn de todos los aspectos del manual`
`Mopri`	`dentro de las politicas de seguridad de la empresa`
`Mopri`	`esta tarea no es fácil, debido al factor que mencione al principio, esto es un proceso, no un producto`
`Mopri`	`sin embargo hasta ahora hemos tenido un exito moderado en la implementación`
`Mopri`	`Solo para que tengan una idea de lo que abarca el manual he aqui algunas de sus secciones`
`Mopri`	`1. Internet Security Presence Points`
`Mopri`	`2. INformation Security`
`Mopri`	`3. Social Engineering`
`Mopri`	`4. Wireless Security`
`Mopri`	`5. Communications Security`
`Mopri`	`6. Physical Security`
`Mopri`	`Esta es la versión 2.0, antes existia una versión 1.5, sin embargo casi todo ha cambiando y no existe una relación directa entre ambas versiones, o sea la versioón 2.0 no es un upgrade de la versión 12.5`
`Mopri`	`1.5 perdon`
`Mopri`	`el site donde pueden encontrar el documento es`
`Mopri`	`http://www.ideahamster.org`
`Mopri`	`Cuantas ideas se le pueden ocurrir a un hamster?? vamos a ver...`
`Mopri`	`El manual es un standar definitivo para cualquier ambiente de pruebas de seguridad, desde el exterior hacia el interior`
`Mopri`	`Este enfoque no requiere que la persona a cargo de las pruebas de penetración tenga ningun tipo de privilegios, ni conocimoento especial, más alla de la informaciòn que es de conocimiento publico`
`Mopri`	`El concepto del manual ha sido y siempre sera el de crear un metodo generalmente aceptado para llevar a cabo pruebas de penetración.`
`Mopri`	`uuhhmmm, esto no les sono familiar????`
`Mopri`	`Los contadores tienen practicas contables generalmente aceptadas.....`
`Mopri`	`estas practicas son las mismas que son eneseñadas en los libros de texto a miles de miles de estudiantes de contabilidad`
`Mopri`	`ahora, si existierá una practica generalmente aceptada para las pruebas de penetración, y estas estuvieran en los libros de texto.... bueno`
`Mopri`	`uds. se imaginan el beneficio en general que esto traería a la comunidad de seguridad`
`Mopri`	`y he ahi la importancia de este documento`
`Mopri`	`Al final, seguir un metodo estandar de pruebas de seguridad, que cualquiera pueda recrear, o inspeccionar a su antojo, es el beneficio más notable que cualquier puede ofrecer a la actividad de Seguridad de Sistemas`
`Mopri`	`Alcance`
`Mopri`	`Este es un documento de metodologias de pruebas de penetración o vulnerabilidad`
`Mopri`	`un grupo de guias y reglas que se aplican a lso sistemas a ser probados, desde el exterior hacia el interior`
`Mopri`	`Esta dentro del alcance de este documento el proveer un acercamiento estandarizado a la actividad de security assestment`
`Mopri`	`El resultado indirecto de esta estandarización es la creación de una disciplina que pueda actuar como el punto central para todas las pruebas de seguridad realizadas`
`Mopri`	`sin importar el tamaño de la organización, tecnología, o sus defensas`
`Mopri`	`Ya antes a habido ciertos intentos por desarrollar dichos estandaras`
`Mopri`	`BS7999`
`Mopri`	`nist tiene cualquier cantidad de documentos`
`Mopri`	`ITSEC (Rainbow Series=`
`Mopri`	`y otras`
`Mopri`	`sin embargo la mayoria vienen del ambito militar, y se quedan cortas a la hora de entrar en el ambito comercial.`
`Mopri`	`El documento describe 4 dimensiones a la hora de realizar las pruebas`
`Mopri`	`1. Seguridad: todas las pruebas debe realizarse pensando en el peor de los escenarios posibles.`
`Mopri`	`2. Privacidad: Todas las pruebas deben tener en cuenta el derecho a la privacidad de las demas personas, sin importar lo que digan las leyes locales. La etica y el entendimiento de la privadcidad, por lo general, van mucho más alla de lo que esta escrito en las leyes en un moemnto dado`
`Mopri`	`3. Practicality (no se como traducirlo): todas las pruebas deben tener un nivel minimo de complejidad, maxima disponibilidad y la más profunda claridad posible`
`Mopri`	`4. Usabilidad: Todas las pruebas deben estar dentro de un marco de seguridad que sea utilizable; es decir, debe haber un balance entre seguridad y usabilidad, por lo general, en cuanto más seguro es un ambiente, menos amigable se torna.`
`Mopri`	`esto también es conocido como seguridad práctica o practical security`
`Mopri`	`El proceso:`
`Mopri`	`Una prueba de segurida tiene dos facetas, la pasiva y la activa. La pasiva es la etapa de recolección de datos.`
`Mopri`	`Y la activa, es el intento de traspasar la seguridad utilizando la información recolectada previamente`
`Mopri`	`El proceso de pruebas de seguridad se concentran en evaluar las siguientes areas:`
`Mopri`	`1. Visibility: todo lo que esta visible, monitoreado, ya sea con o sin la ayuda de dispositivos electronicos. Esto incluye, pero no esta limitado a ondas de radio, luz más alla del espectro visible, dispositivos de comunicacion`
`Mopri`	`como los telefonos, GSM, y correo electronico, además de paquetes de redes, tales como TCP/IP`
`Mopri`	`2. Acceso: Es un punto de entrada al entorno de seguridad. Un punto de acceso no necesariamente debe ser una barrera fisica`
`Mopri`	`estos pueden ser, una página de internet, una ventana, una conexión a la red, ondas de radio, etc.`
`Mopri`	`Trust o confianza: la confianza es un camino especializado, sin importar el entorno de seguridad. Trust incluye el tipo y cantidad de autenticaciòn,`
`Mopri`	`no repudio, control de acceso, contabilidad, confidencialidad e integridad necesarios, entre dos o más factores dentro de un ambiente de seguridad`
`Mopri`	`es el mismo conecepto utilizado en llave publica`
`Mopri`	`Alarm: se refiere a la notificación a tiempo de las actividades que violen, o traten de violar, Visibility, Access o Trust.`
`Mopri`	`Estos son los componentes básicos del proceso de seguridad`
`Mopri`	`Dentro del documento se encuentra un mapa de seguridad`
`Mopri`	`que es muy interesante`
`Mopri`	`ya que refleja de manera gráfica todo el entorno de seguridad donde serán realizadas las pruebas.`
`Mopri`	`Dicho entorno esta compuesto de 6 componentes`
`Mopri`	`1. Internet Security`
`Mopri`	`2. Information Security`
`Mopri`	`3. Physical Security`
`Mopri`	`4. Communicatgions Security`
`Mopri`	`5. Wireless Security`
`Mopri`	`6. Social Engineering`
`Mopri`	`Lo bueno de este tipo de proyectos de cooperación, es que incluyen factores que derepente todavía no aplican al entorno local donde estamos ubicados`
`Mopri`	`pero nos preparan para dichos ambientes`
`Mopri`	`por ejemplo`
`Mopri`	`Wireless Security, en Latinoamerica todavía no esta ampliamente difundico el uso de este tipo de redes`
`Mopri`	`sin embargo se espera que Internet crezca más del 200% en Latinoamerica durante el 2002`
`Mopri`	`lo que nos hace pensar que estas tencologias van a llegar más rapido de lo que esperamos, y es mejor estar preparados`
`Mopri`	`El otro punto intersante es la parte de Ingenieria Social, todavia hay mucha gente que no sabe que este tipo de cosas existen`
`Mopri`	`y casualmente hoy lo acabo de ver`
`Mopri`	`alguien llamo a una sucursal que esta muy alejada, y le pidio que encendiera una máquina y le diera el IP`
`Mopri`	`después que la persona al otro lado del telefono hizo todo lo que se le pidio`
`Mopri`	`es que el ingeniero de este lado se identifico`
`Mopri`	`digo.... pudo haber sido cualquiera`
`Mopri`	`y esa máquina tiene control remoto instalado`
`Mopri`	`y eso es uno de los miles de puntos de entrada al entorno de seguirdad que habra que cuidar`
`Mopri`	`La lista de modulos del documento es larga, incluyen varios puntos a probar dentro de cada una de las secciones descritas en el mapa de la seguridad`
`Mopri`	`hay puntos como`
`Mopri`	`Router Testing... aqui no conozco ninguna compañía que lo haga`
`Mopri`	`y cuando hice la primera prueba aqui, la gente de routing no durmio como en una semana haciendo actualizaciones de software`
`Mopri`	`y esta es una empresa que ha pagado miles por pruebas de vulnerabilidad..`
`Mopri`	`Trusted Systems testing..... cuantas veces no nos ha tocado ver una máquina y nos dicen que no probemos esa porque solo se comunica con esta otra`
`Mopri`	`y quien vigila a esta otra?`
`Mopri`	`es un efecto de dominio`
`Mopri`	`donde una máquina comprometida puede tirar al suelo una red completa`
`Mopri`	`La gran mayoria de las tecnicas conocidas cae dentro de Internet Security, esta es el área de seguridad más divulgada y discutida en Internet`
`Mopri`	`pero cuando pasamos a Information Security la cosa se pone bueno`
`Mopri`	`los invito a bajar el documento de http://wwww.ideahamster.org y que me sigan`
`Mopri`	`voy por la página 13`
`Mopri`	`Cada una de las tareas propuestas por este documento contiene un link hacia las herramientas que se pueden utilizar para llevar a cabo dicha tarea`
`Mopri`	`un estimado del tiempo que toma hacerlo`
`Mopri`	`y el porcentaje de dicha tarea con relación a la totalidad del documento`
`Mopri`	`además nos da una sección de resultados esperados, y tareas especificas a realizar para completar la prueba`
`Mopri`	`todos estos detalles son muy dificiles de deducir a la hora que se nos da la tarea de hacer un assestment completo de seguridad`
`Mopri`	`el manual nos da las guias ya hechas`
`Mopri`	`y solamente requiere los ajustes necesarios para el ambiente de seguridad que deseemos probar`
`Mopri`	`En la sección de Information Security es donde estan las actividades más oscuras de la activdad de pruebas de seguridad`
`Mopri`	`por ejemplo`
`Mopri`	`Competitive Intelligence Scouting`
`Mopri`	`CI Scouting no es más que revolver o buscar información que esta disponible al publico y hacer una correlación de la misma; esta información puede ser analizada con el objetivo de obtener`
`Mopri`	`inteligencia de negocio`
`Mopri`	`Esto es muy diferente de un ataque directo, que busque robar propiedad intelectual`
`Mopri`	`CI es no invasivo y muy sutil`
`Mopri`	`y es un ejemplo muy claro de como una entidad de internet se extiende mucho más alla del DMZ`
`Mopri`	`utilizando CI el encargado de las pruebas de penetración agrega gran valor a los componentes indiduales, y pueden ayudarle a encontrar justificaciones en termino de negocio, para implementar diferentes servicios`
`Mopri`	`el resultado esperado es, tamaño y alcance de la presencia en internet de una empresa o entidad`
`Mopri`	`También deben proveer una medida de las politicas de seguridad a implementar en el futuro`
`Mopri`	`el otro factor importante y poco utilizado por los pen testers`
`Mopri`	`es el de Docuemnt Griding`
`Mopri`	`Esto no es más que la correlación de toda la información recabada`
`Mopri`	`esto nos debe dar:`
`Mopri`	`Un profile de la organizaciñon, sus empleados, la red, las tecnologías utilizadas, y los partners y aliados de la organización`
`Mopri`	`para obtener esto, deberiamos llevar a cabo tareas como:`
`Mopri`	`Examinar bases de datos en el web y cahces, en busca de información del objetivo o de peronal clave`
`Mopri`	`Investigar al personal clave, mediante sus paginas de internet personales, hojas de vida en internet, afiliaciones, registro electora, etc.`
`Mopri`	`compilación de direcciones de e-mail de la organización`
`Mopri`	`busqueda de referencias en grupos de noticias, cualquier cosa que haga mencion de la organizacion o su gente clave`
`Mopri`	`todas estas cosas estan en Internet`
`Mopri`	`no hay que hackear a nadie para conseguirlas`
`Mopri`	`sin embargo muy pocos pen testers se toman el tiempo, para hacerlo`
`Mopri`	`porque?`
`Mopri`	`a veces ignorancia, otras veces por conveniencia (terminan el trabajo en menos tiempo), y otras veces sencillamente por restriciones presupuestarias del cliente`
`Mopri`	`sin embargo, es importante que la referencia ya esta en el documento y puede ser seguida al pie de la letra o ampliada`
`Mopri`	`Luego sigen las secciones de ingenieria social, wireless security, communications security y physical security`
`Mopri`	`todas contiene aspectos, que les apuesto que a muchos nunca se nos hubieran ocurrido`
`Mopri`	`El manual incluye una sección de consideraciones legales, a la hora de realizar las pruebas`
`Mopri`	`debido a que la legislación no es la misma en todos lados, es bueno, darle una leida y adecuarla a cada situación`
`Mopri`	`Al final tenemos una guia general, de lo que debe ser un ambiente seguro, de cuales deben ser nuestras preocupaciones como expertos en seguridad`
`Mopri`	`cuales deben ser los resultados de las preubas`
`Mopri`	`y básicamente que camino seguir durante nuestra labor diaria`
`Mopri`	`y aqui es donde vien lo mejor`
`Mopri`	`esto solamente es una guia generica`
`Mopri`	`queda mucho espacio para mejoras`
`Mopri`	`ya que con el concurso de todas las personas que nos encontramos en el área de seguridad, estoy seguro de que podemos encontrar más y mejores metodos para realizar las pruebas`
`Mopri`	`sin embargo este es un esfuerzo de un grupo de personas, que si no me equivoco no llegan a 50`
`Mopri`	`lo cual hace que el documento sea muy notable por su calidad, completitud y claridad`
`Mopri`	`Se espera que el mercado de seguridad informatica sigua creciendo a pasos gigantes hasta el año 2014`
`Mopri`	`para los consultores como yo esto es una buena noticia`
`Mopri`	`pero como mantenernos un paso adelante de la maquinaria de publicidad de las grandes compañías de software`
`Mopri`	`?`
`Mopri`	`Estandares`
`Mopri`	`yo creo que este es el mejor esfuerzo para concretizar esta meta`
`Mopri`	`asi mismo como Linux en algún momento empezará a cumplir con más y más estandares`
`Mopri`	`nosotros como profesionales de la seguridad también deberiamos apuntar a esa meta`
`Mopri`	`En lo personal yo no lo he hecho, pero pienso enviar un e-mail para ofrecerme al equipo de traducciòn`
`Mopri`	`yo los invito a que uds. hagan los propio, y que cada quien aporta un poquito, para que las proximas versiones del documento sean aun más completas y extensas`
`Mopri`	`este podria ser el inicio de la caida de todo el hype que generan las grandes compañías`
`Mopri`	`y para muestar un boton`
`Mopri`	`toda el escandalo que hizo Microsoft con respecto a su herramienta de seguridad`
`Mopri`	`y ahora resulta que no funciona, no sirve, tan facil como eso`
`Mopri`	`solo hace falta leer la lista de correo de security focus, y veremos mucha gente enojada por esto`
`Mopri`	`Todo el proyecto esta licenciado bajo GNU`
`Mopri`	`asi que no debe haber mayores problemas para tener acceso al docuemnto`
`Mopri`	`Mi propuesta es que mandemos los e-mails`
`Mopri`	`agregemos nuestras propias experiencias`
`Mopri`	`y hagamos de este excelente manual, un documento con el que todos podamos contar`
`Mopri`	`Para los que se estan iniciando en el campo, el manual incluye modelos de reportes que puden utilizar`
`Mopri`	`la verdad hay que aprovechar esta oportunidad y darles la mano a los amigos de ideahamster.org`
`Mopri`	`Gracias.....`
`Fernand0`	`por abrir el canal`
`Stash`	`PLAS PLAS PLAS PLAS PLAS PLAS PLAS PLAS (ya era hora fernando)`
`sarnold`	`gracias mopri :)`
`Fernand0`	`lo siento, como la conversación seguía en #qc, no estaba seguro si era oportuno`
`Fernand0`	`plas plas plas plas plas plas plas plas plas plas plas plas plas`
`Fernand0`	`plas plas plas plas plas plas plas plas plas plas plas plas plas`
`Fernand0`	`plas plas plas plas plas plas plas plas plas plas plas plas plas`
`Mopri`	`jajajaja`
`Mopri`	`alla sigue`
`Mopri`	`Las preguntas en #qc`
`MJesus_`	`plas plas plas plas plas plas plas plas plas plas plas plas plas plas`
`MJesus_`	`plas plas plas plas plas plas plas plas plas plas plas plas plas plas`
`MJesus_`	`plas plas plas plas plas plas plas plas plas plas plas plas plas plas`
`MJesus_`	`plas plas plas plas plas plas plas plas plas plas plas plas plas plas`
`MJesus_`	`plas plas plas plas plas plas plas plas plas plas plas plas plas plas`
`MJesus_`	`plas plas plas plas plas plas plas plas plas plas plas plas plas plas`
`Mopri`	`Creo que el fin de semana subire la ponencia en http://www.maslinux.com/infosec2002`
`MJesus_`	`plas plas plas plas plas plas plas plas plas plas plas plas plas plas`
`MJesus_`	`plas plas plas plas plas plas plas plas plas plas plas plas plas plas`
`MJesus_`	`plas plas plas plas plas plas plas plas plas plas plas plas plas plas`
`Mopri`	`para aquellos que quieran referencias futuras`
`Mopri`	`EPA`
`<Mopri> llego vizard`
`viZard`	`gracias Raul, de todo corazon`
`viZard`	`mi conexion se la llevo el viento`
`raul`	`de nada`
`viZard`	`raul, a ti no :P`
`viZard`	`a Mopri (Raul Millan) :)`
`viZard`	`preguntas para Mopri`
`Mopri`	`de nada man`
`viZard`	`en #qc`
`viZard`	`<Stash> o sea que de alguna forma se resume en un solo documento lo 'mejor' de cada estandar en lo que a seguridad de fuera a dentro se refiere?`
`viZard`	`<Mopri> esa es la idea`
`viZard`	`<Mopri> combinado con un poco de lo que saben cada uno de los autores`
`viZard`	`<Mopri> y con suerte, pronto con lo que sabemos nosotros también`
`viZard`	`<Mopri> Es importante leer todo el documento sin saltarse nada, por lo menos la primera vez, y luego ver los templates que tiene`
`viZard`	`<Mopri> realmente te da una idea muy clara de lo que debes buscar en la red`
`viZard`	`<Mopri> y como documentarlo`
`* Stash se despide de todos y se va a cenar`

Generated by irclog2html.pl 2.1 by Jeff Waugh - find it at freshmeat.net!