La Comunidad DragonJAR

Nadie puede negar que Facebook es la red social mas grande que existe actualmente en la red, es una herramienta que sirve para mantener un contacto con nuestros seres queridos que se encuentras lejos, divertirnos, ademas de enterarnos que pasa con nuestros amigos y familiares.

Pero no todo es bueno, los delitos sobre esta plataforma crecen al mismo ritmo que su popularidad, es por esto que cada vez encontramos mas casos de Suplantación de identidad, Extorsión, Difamación, Pedofilia, Ciber Acoso, entre otros, en esta famosa red social. Leer más…

Hablando con varios amigos, sobre el problema que uno de ellos tenia para auditar un sistema SAP y al buscar para ayudarle con ese problema, nos dimos cuenta de la poca documentación existente para realizar un Pentesting de manera metódica en un sistema SAP, no encontramos fácilmente una guía o checklist a seguir para auditar efectivamente estos sistemas.

Aunque conocíamos buenas herramientas como Sapyto, un framework para auditoria de sistemas SAP del que ya habíamos hablado en la comunidad, y una excelente charla que dio Mariano Nuñez Di Croce, su creador, donde habla de pentesting a sistemas SAP, seguíamos sin encontrar una metodología a seguir, por eso decidimos preguntar en Twitter si alguien conocía alguna metodología para realizar un pentest en sistemas SAP y la respuesta fue tan buena que dio lugar a la creación de este post, donde pretendemos reunir en un solo lugar, los mejores recursos que puedas llegar a necesitar cuando realices una auditoria a sistemas SAP.

El primer recurso que les comparto es la charla de Mariano Nuñez sobre Pentesting en Sistemas SAP:

En los aportes que nos realizaron se encuentra la Guía de Seguridad para sistemas SAP NetWeaver, pero también unas directrices para auditar SAP ECC creado en el 2009 por Nishant Sourabh un empleado de IBM, que eran justo lo que necesitábamos:

Descarga las directrices para auditar SAP ECC de este enlace

Pero también documentación creada por la misma SAP con lineamientos para auditar SAP R/3 que nos ayudaran mucho en la tarea de auditar sistemas SAP.

Descarga los lineamientos para auditar SAP R/3 creados por SAP

En español encontramos un portal dedicado enteramente a la seguridad SAP llamado SeguridadSAP.com, el cual recomendamos totalmente desde La Comunidad DragonJAR, también agradecemos  Space Cowboy (@EspeisCouboi) y Alberto Hil (@bertico413), por su colaboración.

Mariano Nuñez (creador de sapyto) ha compartido con nosotros mas información y herramientas para ampliar nuestra lista:

• Bizploit el primer framework open source para realizar Penetration testing a un ERP

Descargar Bizploit v1.00-rc1 para Windows
Descargar Bizploit v1.00-rc1 para Linux

• Onapsis Integrity Analyzer for SAP, una solución que permite detectar modificaciones sin autorización a los programas ABAP en la plataforma SAP.

Download Integrity Analyzer for SAP (Oracle databases)
Recomendamos leer la guia de instalación en la carpeta “Doc”.

• Seguridad SAP en profundidad, serie de artículos donde explican los pasos a seguir para revisar la seguridad de un sistema SAP en profundidad.

  Volume I: The risks of downwards compatibility
  Volume II: SAP Knowledge Management – The risks of sharing
  Volume III: The Silent Threat: SAP Backdoors and Rootkits

muchísimas gracias por el aporte y mariano.

Si tienes mas aportes en esta materia dejalos en los comentarios, para que juntos construyamos un buen listado de recursos para auditar sistemas SAP.

A estas alturas del paseo (como diríamos en colombia), son pocas las personas que aun sostienen que no hay malware para GNU Linux o Mac OS X, es un hecho que el malware para estos sistemas existe y día a día aumentan en cantidad y sofisticación, no en las mismas proporciones que en entornos Windows, pero es un mercado creciente para delincuentes.

Con el tema de Malware en Linux o Mac pasa algo bastante ironico, las personas que utilizan estos sistemas operativos alternativos a Microsoft Windows, creen que están libres de malware (por todo lo que les han dicho los fabricantes, vendedores, amigos y usuarios en foros o blogs), lo que las convierte  en blancos faciles para los delincuentes que ven en esta situación una excelente oportunidad  de “ampliar su negocio”; Algo totalmente distinto pasa con los usuarios de Microsoft Windows a quienes por todos los medios posibles les han advertidos de las amenazas que existen para su sistema y pueden protegerse adecuadamente de ellas (conozco casos donde abuelos que usan el PC para comunicarse con nietos fuera del pais y cuando lo mandan a arreglar lo primero que piden es “instalar primero el antivirus”). Leer más…

Hace un tiempo se hizo bastante revuelco cuando se descubrió que Dropbox, ese popular servicio para sincronizar y compartir archivos entre varios equipos, no trataba bien la autenticación en su sistema, De hecho existe una herramienta llamada DB Clone que basándose en las investigaciones publicadas por Derek Newton consigue saltar el proceso de autenticación en DropBox.

Leer más…

Hace algunos días proliferó de forma viral en Facebook unas invitaciones para “Averigua quién visita tu perfil”, seguramente las habrán visto en su perfil o les llegó la invitación de algún amigo, hoy nanopene me ha enviado una investigación que ha realizado sobre este fenómeno y con un alto nivel de detalle explica qué hace realmente espiaface.com.

Para quien no lo sepa aun, no existe ni existirá en Facebook, algún método que te permita averiguar quién visita tu perfil, todas las aplicaciones, métodos o trucos para averiguar esto son un total FRAUDE y posiblemente termines infectado, con identidad robada o haciendo a alguien rico con publicidad. Leer más…

Hasta hace poco Twitter solo cifraba nuestra información cuando ingresábamos en su sistema, dejando a merced de cualquiera con un sniffer o un navegador web, toda nuestra información; Los ingenieros de esta red social se dieron cuenta del problema y empezaron a cambiar esto permitiendo el uso de httpS siempre y no solo en el login, algo que Facebook empezó a hacer unos meses atras.

En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran una de las mejores alternativas que teníamos  para asegurar nuestra conexión segura en las redes sociales. Leer más…

Hasta hace unas semanas Facebook solo cifraba nuestra información cuando ingresábamos en su sistema, dejando a merced de cualquiera con un sniffer o un navegador web, toda nuestra información (incluyendo chats, secciones, etc..); Facebook se dio cuenta del problema y empezó a cambiar esto permitiendo el uso de httpS siempre y no solo en el login, la noticia empezó a rodar por la web incluso en sitios relacionados con la seguridad en español, sin que esta solución estuviera todavía implementada en nuestro idioma (todos con el mismo pantallazo).

En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran la única alternativa que teníamos los hispanohablantes para asegurar nuestra conexión segura en las redes sociales (aunque otros dijeran lo contrario). Leer más…

Esta historia parecía destinada a no salir de mis borradores, ya que aun guardaba esperanzas de recuperar mis cosas, pero al revisar las charlas de la DEFCON18 encontré una que me motivó a terminar este borrador, la charla se titula “Pwned By The Owner: What Happens When You Steal A Hacker’s Computer” y básicamente lo que les cuenta ZOZ, es muy similar a lo que me sucedió a mí, solo que en mi caso no hay final feliz…

Todo sucedió el primero de septiembre de 2010, a unos cuantos días de mi viaje para presentar el reto forense de la EKO Party; En la cafetería de mi universidad y gracias a un descuido mío de unos pocos minutos, logré extraviar un maletín que contenía entre otras cosas mi portátil MacBook PRO, mi disco duro Western Digital de 1TB y varios libros técnicos. Leer más…

En los años 20 y 30 cuando en Estados Unidos se impuso la Ley Seca, donde se prohibía el consumo, venta, transporte y fabricación de bebidas alcohólicas, durante estos años proliferaron los bares clandestinos con doble razón social donde solicitaban una contraseña al entrar y dependiendo de la respuesta podrías disfrutar del anhelado licor o entrar a la mejor tienda de mascotas de la ciudad .

En el 2003 Martin Krzywinski, publicó un articulo en la revista SysAdmin titulado “Port Knocking: Network Authentication Across Closed Ports.”, en el que mostraba en detalle como migrar estos mecanismos de autenticación usados durante la época de la “prohibición” a los sistemas de información actuales, bautizando esta técnica como Port Knocking. Leer más…