FOCA, Es increíble pensar que llevo bastante tiempo utilizando la FOCA y nunca le había dedicado un artículo a este animal, a pesar de haber publicado varias charlas de Chema Alonso donde daba a conocer su mascota.

¿Que es la FOCA?

FOCA (Llamado así en honor a Francisco OCA, aunque luego buscaran las siglas “Fingerprinting Organizations with Collected Archives”) es una herramienta para encontrar Metadatos e información oculta en documentos de Microsoft Office, Open Office y documentos PDF/PS/EPS, extraer todos los datos de ellos exprimiendo los ficheros al máximo y una vez extraídos cruzar toda esta información para obtener datos relevantes de una empresa.

¿Que funciones tiene la FOCA?

La foca hace Google y Bing Hacking para descubrir los archivos ofimáticos que tiene un dominio, los descarga masivamente, les extrae los metadatos, organiza los datos y nos muestra la siguiente información:

• Nombres de usuarios del sistema
• Rutas de archivos
• Versión del Software utilizado
• Correos electrónicos encontrados
• Fechas de Creación, Modificación e Impresión de los documentos.
• Sistema operativo desde donde crearon el documento
• Nombre de las impresoras utilizadas
• Permite descubrir subdominios y mapear la red de la organización
• Nombres e IPs descubiertos en Metadatos
• Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o API]
• Búsqueda de registros Well-Known en servidor DNS
• Búsqueda de nombres comunes en servidor DNS
• Búsqueda de IPs con resolución DNS
• Búsqueda de nombres de dominio con BingSearch ip
• Búsqueda de nombres con PTR Scanning del segmento de red con DNS interno
• Transferencia de Zonas
• Detección automática de DNS Cache
• Vista de Roles
• Filtro de criticidad en el log
• Entre otras muchas cosas…

Ahora en la versión 3.0 los chicos de Informatica64 han dado un nuevo aire a la herramienta, cambiando completamente su interface, añadiendo nuevas funcionalidades, en fin… les dejo el listado de cambios, con los respectivos enlaces para que analices cada uno en profundidad:

• Re-styling del interfaz.
• Panel de tareas multi-hilo.
• Búsqueda de puertos de squid proxy.
• Búsqueda de registros de servicio en DNS.
• Búsqueda de políticas anti-spam del dominio [SPF, DKIM, Domainkey]
• Búsqueda de ficheros ICA y RDP: Usuarios, software en ellos y adición rol de RemoteApp.
• Análisis de .DS_Store
• Análisis de Robots.txt
• Integración de Shodan y Robtex en el algoritmo
• Análisis de Leaks [Solo en versión PRO]
• Análisis de errores de aplicación
• Ampliación de tecnologías

La foca es especialmente útil, en la tarea previa a un pen-test, donde debemos recolectar toda la información posible sobre el objetivo para que nuestra tarea se realice de la mejor forma.
Aquí podemos ver a Chema mostrando su FOCA, durante su charla en el VI Congreso Latinoamericano de Respuesta a Incidentes de Seguridad (Colaris), realizado en Perú.

O este pequeño manual básico de instalación y uso creado por cruz4d3r para la comunidad en una versión anterior de la foca (pero aún vigente).

Descargar la FOCA 3

Más Información:
Pagina Oficial de la FOCA
Versión Online de la FOCA
La Página del Maligno, donde habla siempre de su FOCA

También puede interesarte...

• Memorias del Asegúr@IT 7
• Entrevista a Jose Maria “Chema” Alonso para La Comunidad DragonJAR
• Tercer Encuentro Internacional de Seguridad Informática – Día II
• KriptDoc
• NMap 5.50
• Cómo funcionan y se crackean las claves en sistemas Windows
• Dilemas de la seguridad en el desarrollo de software
• Actualiza tu software con Secunia Personal Software Inspector

Las contraseñas han sido por muchos años la medida de seguridad por excelencia para garantizar el acceso a las personas autorizadas de un sistema, pero no todas las implementaciones en los sistemas de acceso son realizadas correctamente, es el caso de los sistemas Microsoft Windows que en su afán de conservar la compatibilidad con versiones anteriores, permiten la utilización de cifrados inseguros para las claves que utilizamos en sistemas mas actuales.

El siguiente vídeo que me envía Omar Palomino, nos enseña claramente como funciona el sistema de contraseñas en Microsoft Windows, por qué no debemos usar contraseñas con menos de 14 caracteres y veremos varios métodos para crackear el sistema de claves en entornos Windows incluyendo el uso de Rainbow Tables.

Mas Información:
A la fuerza…. por fuerza bruta!!

También puede interesarte...

• Las peores Contraseñas en Español
• Cambia tu clave maestra en LastPass
• Nueva versión de Cain & Abel
• Ophcrack con soporte para Windows Vista
• Bruter – Herramienta Para Crackear Password por Fuerza Bruta de Forma Paralela en Windows
• Las peores contraseñas de este año
• Actualiza tu software con Secunia Personal Software Inspector
• Las Peores 500 Contraseñas de Todos los Tiempos

• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• Instalación de TFS, SQL Server 2008 y SDL
• Requerimientos para Security Development Lifecycle de Microsoft

En esta entrega pablo nos trae una presentación que realizó para un diplomado, donde nos explica cuales son los dilemas actuales de la seguridad en el desarrollo de software, los modelos de desarrollo seguro y las amenazas mas comunes.

Escrito por:
Pablo Andrés Garzón Vera
Ingeniero de Sistemas (Universidad Manuela Beltrán)
Magister  en Dirección Estratégica en Ingeniería de software (Universidad de León).
Para La Comunidad DragonJAR

También puede interesarte...

• Requerimientos para Security Development Lifecycle de Microsoft
• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Instalación de TFS, SQL Server 2008 y SDL
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• SeguriSemanal I
• Video Tutorial de Nessus y Baseline Security Analyzer
• Webcast de Microsoft sobre Seguridad Informática
• Mundo Hacker TV

Es difícil estar enterado al 100% de las actualizaciones de software, y mucho más si se es como algunos, quienes preferimos deshabilitar actualizaciones automáticas que vienen por defecto en el software que instalamos (Java, FlashPlayer, VLC, Acobat Reader, WMP, y un largo etc.) para tener mas control sobre lo que instalamos en nuestro sistema.

Secunia Personal Software Inspector o Secunia PSI es una herramienta gratuita diseñada para mantener actualizado nuestro sistema,  cuando lo iniciamos Secunia  PSI realizará un escaneo en nuestro sistema, detectando cuales de nuestros aplicaciones se encuentran desactualizadas, ofreciendonos además información sobre la disponibilidad de actualizaciones.

De esta manera, y sin necesidad de estar visitando constantemente cada una de las páginas de las casas de software que utilizamos (que pueden ser decenas ) Secunia Personal Software Inspector nos ofrece justo la información que necesitamos y la posibilidad de actualizar nuestras aplicaciones automaticamente, con poca o nula interacción nuestra  (si así lo deseamos).

El modo de uso no puede ser más simple. Basta con ingresar a la página web del producto.
Cliquear en el recuadro remarcado para realizar la descarga de la herramienta y seguir las instrucciones del siguiente video:

Hago la anotación además, que en la barra de tareas veremos el icono de la herramienta, esto es, por que se ejecutará en segundo plano de nuestra máquina.

En mi caso ha detectado 21 alertas de seguridad de software :/… reporte que no me enorgullece, pero que entraré a solucionar de inmediato con esta herramienta.

Disponible únicamente para Sistemas Windows.

Descargar Secunia Personal Software Inspector

Más información:
Pagina Oficial de la herramienta Secunia Personal Software Inspector

También puede interesarte...

• Actualiza tu equipo con Windows
• Process Hacker, Mata Procesos en Windows
• WUDE 3.0
• Evita que Windows 7 dañe tus MP3
• Hoy salio a la luz el nuevo WinUp 2.7
• Cómo funcionan y se crackean las claves en sistemas Windows
• DLL Hijacking con Metasploit
• Como realizar un borrado seguro usando BleachBit

Microsoft Security Essentials es la propuesta de protección en tiempo real contra virus, spyware y otros tipos de malware para PC de Microsoft, de la cual hablamos hace un tiempo y acaba de salir una nueva versión.

Algunas de las nuevas características incorporadas en la versión 2.0 del Microsoft Security Essentials son:

• Mejor integración con el Firewall de Windows e Internet Explorer
• Cambiado el motor anti-malware, ahora tiene heurística y mejor rendimiento.
• Mejor protección a malware desconocido.
• Mejor integración con la tecnología “Windows Filtering Platform” de Windows Vista/7

Hace mucho que Microsoft empezó a preocuparse por la seguridad de su sistema operativo y ha implementado muchas soluciones para que el uso de su sistema sea mas seguro, por eso si aun no te decides por una solución completa de seguridad de seguridad (AntiVirus, AntiSpyware, Firewall) te recomiendo darle una oportunidad a Microsoft Security Essentials, que ha mejorado bastante y ha demostrado ser una de las mejores soluciones gratuitas en seguridad para tu equipo de escritorio con sistema Microsoft Windows.

Descargar Microsoft Security Essentials
(Antivirus Gratis de Microsoft)

También puede interesarte...

• Licencia para Avira AntiVir Premium en Español Gratis
• FOCA – Herramienta para análisis de Meta Datos
• Cómo funcionan y se crackean las claves en sistemas Windows
• Dilemas de la seguridad en el desarrollo de software
• Actualiza tu software con Secunia Personal Software Inspector
• Requerimientos para Security Development Lifecycle de Microsoft
• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Instalación de TFS, SQL Server 2008 y SDL

Esta es la cuarta entrega de la serie de seguridad Informática en la ingeniería de software que nos envía el amigo Pablo Andrés Garzón, si no has leído los anteriores artículos, te invito que lo hagas.

• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• Instalación de TFS, SQL Server 2008 y SDL

El tercer artículo cubrirá el primer nivel tratado en el SDL el cual se enfoca en la necesidad de considerar los aspectos de seguridad en una fase temprana del ciclo de vida, ya que es fundamental para el desarrollo de un sistema seguro, para esto se debe definir en la fase de la planificación ya que permite que los desarrolladores y arquitecto identifiquen los principales problema que se pueden presentar en la implementación de los controles de seguridad y así tener medidas que controle atrasos en la integración con los diferentes módulos desarrollados por el equipo.

Los análisis de requisitos enfocados con la seguridad permiten conocer cómo será el diseño de la aplicación contemplando los requisitos de seguridad mínimo que se debe tener, también contempla como será su comportamiento en un entorno operativo planificado y como se manejara el temas de las vulnerabilidades para el control y seguimiento de estas recordando que el temas de control de bugs es de gran importancia para el ciclo de vida del software ya que una mala implementación de este nos podría producir costos elevados en tiempo y en dinero lo cual sería un problema para la empresa u organización.

Calidad Gates/Barra de Errores

La barra de error es una de las tareas más difíciles que puede enfrentar un equipo de desarrollo de software durante la evolución de ciclo de vida, para esto decidir el nivel de importancia que se le dará a un error y la probabilidad de que ese error no se pueda corregir en el tiempo de entrega de la versión puede tener muchos problemas que afecta al grupo de desarrollo.

Aunque uno de los puntos más difíciles de tratar es que los programadores, arquitectos y otros miembros del grupo tienen diferentes puntos de vista de la clasificación del error o la probabilidad de poder gestionarlo en la fase de entrega de la versión, pero estos grupos cometen errores en sus decisiones de clasificación por factores individuales o por la experiencia ya tratada en una anterior clasificación recordando que la clasificación de un error puede variar dependiendo el proyecto a realizar y sobre esto se enfocan en los siguientes puntos como:

• Cuánto código tendría que regresión-probarse una vez realizada la corrección.
• Cómo cerrar para liberar el proyecto es.
• ¿Cuántos usuarios se verían afectados por el cambio.
• Si el error está bloqueando otros problemas de ser probado o fijo.

Antes que toquemos la barra de error es importantes conocer una de las anteriores propuestas de Microsoft en la clasificación de errores de seguridad: Dread que significa en su acrónimo:

• Daño potencial.
• Reproducibilidad.
• Capacidad de aprovechamiento.
• Usuarios afectados.
• Capacidad de descubrimiento.

Para este a cada parámetro del DREAD se le debe asignar un valor de 1 a 10, siendo el más grave el 10 y el 1 el menor. Después de esto se promedian para general la calificación DREAD.

Para esto describiremos la siguiente tabla donde se detalla la clasificación mencionada a continuación.

Aunque recordemos que un evaluador pude ver diferente la asignación de la clasificación de errores propuesta en un inicio, entonces nos podríamos preguntarnos cuál de las clasificaciones realizadas por cada miembro es la mejor para el DREAD o como podremos controlar la variabilidad de los valores subjetivos.

Después de conocer la anterior forma de trabajar de Microsoft en la clasificación de seguridad enfoquémonos en el actual que es la barra de error de seguridad la cual clasifica las vulnerabilidades según su efecto, para esto la persona encargada de clasificar el error asigna un valor de efecto de seguridad de una lista de valores STRIDE la cual es una tecla de acceso, para este caso se utiliza para clasificar las amenazas encontradas en el ciclo de vida del desarrollo de seguridad y es unos de los componentes básicos de varias herramientas que gestionan el SDL, los valores STRIDE son:

• Suplantación
• Manipulación
• Repudio
• Revelación de información
• Denegación de servicio (DoS)
• Elevación de privilegios (EoP)

Aunque la categoría de STRIDE no es suficiente para clasificar un error, Debemos tener en cuenta el entorno donde se aplica el código ya que este puede afectar al cliente o al servidor, por ejemplo un ataque de denegación de servicios que toma un único usuario no sería tan elevado como dejar fuera un servidor donde varios usuarios realizan operaciones de tiempo continuo como son las aplicaciones provistas por entidades bancarias o del estado, también debemos considerar quien puede ejecutar el ataque como una personas con autenticación en el sitio o una persona anónima que no posee una acceso de privilegios a esta para este caso tendría mayor elevación la persona que realiza el ataque anónimamente que la persona autenticada.

Al contar con la clasificación provista por STRIDE y las características de ámbito adicionales la persona encargada de clasificar el error puede dar más detalle del valor a dar para la barra de error.

La siguiente tabla nos muestra una barra de error de seguridad la cual define cuatro niveles de gravedad:

• Critica.
• Importante.
• Moderada.
• baja.

Seguridad y evaluación de riesgos de privacidad

Antes de tocar el tema de evaluación de riesgos en el ciclo de vida del software conozcamos el concepto general aplicado en seguridad el análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurra cosas negativas en un proceso o en algún evento.

Los puntos que debemos considerar en el análisis de riesgos son los siguientes:

• Obtener una evaluación económica del impacto de los sucesos,
• Tener en cuenta la probabilidad de que ocurran los problemas posibles.
• Conocer que es lo que más queremos proteger asegurando que obtendremos un beneficio y no una pérdida, para esto se debe identificar los recursos (software, hardware, información, personal, etc.) y considerar las posibles amenazas que se pueden encontrar.

Para aclarar más el concepto tomemos en cuenta la siguiente tabla donde podremos entender el funcionamiento que se aplica en el análisis de riesgos.

Por último el enfoque del análisis de riesgos en el ciclo de vida del software debe identificar las funciones de software a las cuales se le debe aplicar una revisión más profunda para esos se debe incurrir en los siguientes aspectos.

• Que parte del proyecto requerirá modelo de amenazas.
• Que parte del proyecto requerirá el diseño de seguridad.
• Que parte del proyecto requerirá pruebas de penetración las cuales las puede realizar una empresa externa a la involucrada al proyecto.
• qué es la evaluación de impacto de privacidad?

La respuesta a esta pregunta se basa en las siguientes directrices:

• Alto riesgo de privacidad de P1. La función, producto o servicio almacena o transfiere PII, cambios de configuración o asociaciones de tipo de archivo o instala el software.
• Riesgos de privacidad mod P2. El comportamiento único que afecta a la intimidad en la función, producto o servicio es una transferencia de datos anónimos, iniciado por el usuario, de una sola vez (por ejemplo, el usuario hace clic en un vínculo y el software va a un sitio Web).
• P3 bajo riesgo de privacidad. No comportamientos existen dentro de la función, producto o servicio que afectan a la privacidad. No se transfiere ningún dato personal o anónima, no IPI se almacena en el equipo, ninguna configuración de cambian en nombre del usuario y no está instalado ningún software.
• La necesidad de pruebas adicionales que podría considerar el analista para así mitigar los riesgos de seguridad.
• Ámbito específico de la aplicación enfocado en las pruebas de requisitos

ROSI (Retorno de Inversión en Seguridad de la Información)

Para terminar hay una de las cosas que nunca eh escuchado mencionar en el SDL y me parece importante ya que se puede aplicar y es la implementación del ROSI el cual es bien conocido como el retorno de inversión en seguridad de la información el cual garantiza la continuidad de negocio a medio y a largo plazo, Centrándonos en ROSI, la esencia del cálculo se basa en calcular los costos ahorrados como consecuencia de evitar incidentes de seguridad o de mitigar los efectos de los mismos en caso de ocurrencia. Es por esto que en ROSI el beneficio es en realidad el ahorro conseguido (además de otro tipo de beneficios como pueden ser mejorar la imagen de la empresa consiguiendo así nuevos clientes), algunos se preguntaran porque mencione el rosi o porque se podría aplicar es tan sencillo que teniendo en cuenta la implementación de controles de seguridad y la continuidad de la seguridad en cada fase del ciclo de vida del software podremos manejar un nivel de costos los cuales podrían favorecer o a su vez o no favorecer en niveles de tiempo y dinero así manejando la definición de ROSI la cual trata cuanto no pierdo por implementar controles de seguridad es tan interesante que debería ser considerada en SDL y demás enfoques o metodologías enfocadas en la seguridad del ciclo de vida del software teniendo en cuenta que la mayoría de proyectos que fracasan son por términos de mal manejo en definiciones y controles de seguridad a implementar por esto es tan necesario que se tenga en cuenta el rosi no solo en la seguridad de la información si no también en la seguridad del ciclo de vida del software y en los demás campos que se pueden aplicar.

Para mayor información diríjase a los siguientes links.

• http://pastorcortes.net/crear_valor/rosi_return_on_information_security_investment_/
• http://www.microsoft.com/security/sdl/

Escrito por:
Pablo Andrés Garzón Vera
Ingeniero de Sistemas (Universidad Manuela Beltrán)
Magister en Dirección Estratégica en Ingeniería de software (Universidad de León).
Para La Comunidad DragonJAR

También puede interesarte...

• Dilemas de la seguridad en el desarrollo de software
• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Instalación de TFS, SQL Server 2008 y SDL
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• SeguriSemanal I
• Video Tutorial de Nessus y Baseline Security Analyzer
• Webcast de Microsoft sobre Seguridad Informática
• Mundo Hacker TV

Esta es la tercera entrega de la serie de seguridad Informática en la ingeniería de software que nos envía el amigo Pablo Andrés Garzón, si no has leído los anteriores artículos, te invito que lo hagas.

• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• Instalación de TFS, SQL Server 2008 y SDL

El tercer artículo cubrirá el primer nivel tratado en el SDL el cual se enfoca en la capacitación de seguridad que deben tomar los miembros de un equipo de Desarrollo (Software) pero que tan cumplido es esto si tenemos en cuenta que la mayoría de proyectos no cubren este aspecto de capacitación a sus miembros en temas de seguridad ya que en la mayoría de veces la excusa es la falta de tiempo o la prioridad a otras fases del proyecto, pero estos equipos no saben el gran error que están cometiendo ya que en cada fase se incrementara el tiempo ajustado al cronograma que se tenía estimado.

Pero que debe conocer el equipo de Desarrollo de software en temas de seguridad para esto los grandes aspectos a considerar y tener en cuenta por el equipo son los siguientes.

Conceptos Básicos:

Seguridad de diseño, que incluye los siguientes temas:

• Superficie de reducción de ataque.
• Defensa en profundidad.
• Principio de privilegios mínimos.
• Valores predeterminados de seguridad.

Modelado de amenazas, incluyendo los siguientes temas:

• Visión general de modelado de amenazas.
• Diseño de un modelo de amenazas.
• Codificación a un modelo de amenazas.
• Pruebas para un modelo de amenazas.

Segura de codificación, incluidos los temas siguientes:

• Saturaciones de búfer.
• Errores de entero aritméticos.
• Cross site scripting.
• Inyección de SQL.
• Criptografía débil.
• Cuestiones de código administrado (Microsoft .NET y Java).

Pruebas de seguridad, incluidos los temas siguientes:

• Pruebas frente a pruebas funcionales de seguridad.
• Evaluación del riesgo.
• Metodologías de prueba automatización de pruebas.

Privacidad, incluyendo los siguientes temas:

• Tipos de datos de privacidad.
• Las mejores prácticas de diseño de privacidad análisis de riesgos.
• Mejores prácticas de desarrollo de privacidad.
• Pruebas de las mejores prácticas de privacidad.

Para estos temas se recomienda la guía de OWASP donde cubre los aspectos en temas de seguridad en aplicaciones webs donde se tratan algunos temas de los mencionados anteriormente y ya que es la guía fundamental en temas de seguridad por la comunidad involucrada en software.

Por lo general los equipos de software no manejan la mayoría de temas básicos en seguridad llegando así a cometer errores en diseño, Arquitectura y codificación produciendo un nivel bajo en nivel de calidad teniendo en cuenta que un producto de calidad debe tener los aspectos de seguridad cubiertos en cada proceso realizado.

Conceptos Avanzados:

Definición de arquitectura y diseño en temas de seguridad.

• Arquitectura y diseño de seguridad
• Diseño de la interfaz de usuario
• Problemas de seguridad en detalle
• Procesos de respuesta de seguridad
• Aplicación de factores atenuantes amenaza personalizado

Los temas avanzados en seguridad deberían ser manejados y conocidos completamente por los arquitectos de software ya que ellos deben cubrir estos temas en sus definiciones para así llegar a tener una arquitectura que respete cuanto temas de negocio, técnicos y de seguridad pero esto no quiere decir que los otros miembros del equipo deben desconocer estos conceptos ya que cualquiera puede realizar la implementación de cada tema de seguridad y no estaría bien solo conocer el aspecto técnico, negocio si no también la parte de seguridad avanzada.

Tratando este tema y teniendo en consideración los grandes aspectos en cuanto a seguridad en el ciclo de vida del software cada equipo de Desarrollo debe contar con un analista de seguridad en software para la realización de las pruebas, manejo y definición de las diferentes métricas para tener en cuenta en cada ciclo de vida del software, cubriendo aspecto tanto técnicos, arquitectónico y conceptuales que mejoren el nivel de calidad del producto de software a desarrollar por el equipo.

En la anterior imagen podemos observar las grandes estimaciones de corrección de código que se realiza después de su liberación en la cual puede tener a lugar a 30 veces el costo de las revisiones realizadas durante la fase de diseño, pero que pasaría si implementamos sdl las vulnerabilidades tienen más posibilidad de ser encontradas antes de su implementación lo que reduciría el costo total del desarrollo.

Pero para mas consideración observemos la siguiente imagen donde podemos concluir que después de tres años de la liberación de SQL Server 2005 Microsoft solo ah publicado tres boletines de seguridad reduciendo la complejidad que se tenía en temas de seguridad en su motor de base de datos, con esto podemos analizar las mejoras que se ah tenido con la implementación de SDL en los productos Microsoft de acuerdo a esto los arquitectos, gerentes de proyectos, Desarrolladores deberían implementar el sdl en sus proyectos de software para así reducir la complejidad que se han presentados en temas de seguridad.

Escrito por:
Pablo Andrés Garzón Vera
Ingeniero de Sistemas (Universidad Manuela Beltrán)
Magister en Dirección Estratégica en Ingeniería de software (Universidad de León).
Para La Comunidad DragonJAR

También puede interesarte...

• Dilemas de la seguridad en el desarrollo de software
• Requerimientos para Security Development Lifecycle de Microsoft
• Instalación de TFS, SQL Server 2008 y SDL
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• SeguriSemanal I
• Video Tutorial de Nessus y Baseline Security Analyzer
• Webcast de Microsoft sobre Seguridad Informática
• Mundo Hacker TV

Pablo Andrés Garzón Vera, quien ya ha compartido con nosotros artículos como “Seguridad Informática, un reto para la Ingeniería del Software o una necesidad” enfocados principalmente en la ingeniería de software y la participación de la seguridad informática en este proceso, se ha comprometido con nosotros a publicar mas de esta serie de artículos, que aportan tanto a la comunidad hispanohablante debido a la falta de documentación sobre el tema en nuestro idioma.

Para que puedas llevar a la practica, las actividades de los próximos artículos, es necesarios que instales una serie de software como lo es el Microsoft SQL Server 2008, Microsoft  Team Fundation Server y Microsoft Security Development Lifecycle, que nos permitirán aplicar la seguridad informática en el desarrollo de software, enfocado principalmente en plataformas Microsoft.

INSTALACIÓN DE SQL SERVER 2008

Para iniciar la instalación deberán instalar el SP1 de .Net Framework 3.5 y el Windows Installer 4.5 (los cuales vienen incluidos en el instalador).

Una vez instalados estos dos componentes aparecerá la pantalla del SQL Server installation Center

Para iniciar la instalación debemos ir a Installation y luego seleccionar New SQL Server stand-alone installation or add features to an existing installation (Aplica para el tipo de instalación que describimos en este post)

El instalador ejecutará primeramente una revisión para identificar problemas que podrían ocurrir durante la instalación o limitaciones que podrían ocasionar que no podamos instalar SQL Server 2008.

Luego debemos seleccionar la edición que deseamos instalar o ingresar el product key del SQL Server 2008. (En este caso voy a instalar la edición Enterprise de prueba)

Aceptamos los téminos de licencia y damos clic en Next.

A continuación se ejecutarán los archivos para la instalación de SQL Server 2008.

A continuación el instalador ejecutará las acciones del Setup Support Rules (Estas se deben cumplir para poder continuar con la instalación)

Luego deben seleccionar los componentes que desean instalar (estoy seleccionando todos los componentes):

En este caso no tengo ninguna instancia de SQL Server y voy a proceder a instalar en el Default instance (En este paso pueden tambien renombrar el ID de la instancia y cambiar el directorio de la misma).

Luego el instalador validará el espacio disponible de disco.

Luego deberán configurar las cuentas con la que se inicará cada servicio de SQL Server 2008 (Yo tengo una cuenta creada con permisos administrativos en el servidor para iniciar sólo servicios de SQL Server).

En este paso deberán seleccionar el modo de autenticación de SQL Server y agregar las cuentas que serán administradores de la instancia.

Además podrán cambiar los directorios para la data, datos de usuarios, logs, Temp DB, Temp DB Log y el directorio para los backups.

Pueden también activar el FileStream

Luego deberán configurar las cuentas que tendrán permisos administrativos para Analysis Services.

De igual forma pueden configurar los directorios para Analysis Services.

En la configuración de Reporting Services voy a seleccionar el tipo por defecto, si cuentan con MOSS 2007 pueden cambiar a la segunda opción o si desean sólo instalarlo y configurarlo luego deberán seleccionar la tercera opción.

Luego podran habilitar enviar información a Microsoft tanto de uso como de errores de SQL Server 2008.

El instalador validará las configuraciones seleccionadas en los pasos anteriores.

A continuación se presentará un resumen de la instalación que se llevará a cabo.

Luego iniciará la instalación y Finalmente presentará el fin de la instalación.

Luego de finalizar la instalación deberán realizar configuraciones adicionales con las herramientas de configuración de SQL Server 2008 y yinalmente nos conectamos al Management Studio para empezar a utilizar SQL Server 2008.

RECOMENDACIONES

Antes de realizar la instalación del team foundation server por favor tenga en cuenta estos pasos.

1.    Subir el servicio SQL server agent y dejarlo automático.

2.    Para esta recomendación escogemos el SQL server Configuration Manager.

Habilitamos el TCP/IP en estado Enable.

INSTALACIÓN DE TEAM FOUNDATION SERVER

Para la instalación  de Team Foundation Server se deben seguir los siguientes pasos.

1.    Primero procedamos a ejecutar nuestro instalador de team foundation server.

2.     Para este paso procedemos ah aceptar las condiciones se usó del team foundation server.

3.    Procedemos a seleccionar los componentes que serán utilizados  en nuestro  Team foundation Server.

4.    En este caso se realiza la instalación de cada componente para el Team Foundation Server.

5.    Para este caso reiniciamos la maquina ya que no los  es solicitado por el componente instalado (Windows Installer).

6.    Continuamos el paso de la instalación hasta que lleguemos al net  framework.

7.    Para este caso reiniciamos el ordenador  para que se tomen los cambios por la instalación del net  framework.

8.    Continuamos con la instalación hasta que finalice todas os componentes del Team Foundation Server.

9.    Como podemos ver la instalación fue satisfactoria.

INSTALACIÓN DE SDL

Después de haber instalado el SQL Server y el team foundation procedemos a instalar nuestra plantilla de SDL la cual será usada para proyectos enfocados en seguridad de Desarrollo del Ciclo de Vida del Software los paso son mostrados a continuación en las imágenes.

Después de haber finaliza la instalación comprobamos que las siguientes  carpetas y el siguiente archivo se encuentran en la ruta de instalación escogida.

Con esto terminamos todos nuestros paso solo en instalación en el próximo artículo se manejara temas de configuración y otros.

Para mayor información diríjase a los siguientes links.

1. Actualizando visual studio team server 2008 a visual studio team server 2010
2. Instalacion de sql server 2008 rc0 en windows server 2008

Escrito por:
Pablo Andrés Garzón Vera
Ingeniero de Sistemas (Universidad Manuela Beltrán)
Magister  en Dirección Estratégica en Ingeniería de software (Universidad de León).
Para La Comunidad DragonJAR

También puede interesarte...

• Dilemas de la seguridad en el desarrollo de software
• Requerimientos para Security Development Lifecycle de Microsoft
• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• SeguriSemanal I
• Video Tutorial de Nessus y Baseline Security Analyzer
• Webcast de Microsoft sobre Seguridad Informática
• Mundo Hacker TV

No puedo creer que sea una persona tan afortunada, hace poco Me gané 2 Millones de Dolares!!, y ahora Mastercard en asociación con Microsoft han reunido la suma de £952,000.00 (novecientos cincuenta y dos mil libras Gran Bretaña), para regalarlas en un sorteo donde el ganador resulte ser yo!!!.

MASTERCARD ® / MICROSOFT ® PREMIO MAYOR SÚPER INTERNACIONAL.
Director Ejecutivo: Sr. Adam Smith.

ATTENTION: MasterCard/Microsoft Windows Award Winner:

Su dirección de correo electrónico fue seleccionado y confirmado por nuestra Internacional copatrocinador Microsoft, a través de su software más reciente de Internet. Usted ha sido aprobado tanto por MasterCard ® Internacional / Microsoft ® Corporation del Reino Unido la suma de £952,000.00 (novecientos cincuenta y dos mil libras Gran Bretaña). Estos fondos son en efectivo, mediante abono en un cheque de caja válida, con un Reg ganar. (GXC/001620-UK4). Estar informado de que su premio ha sido asegurado y listo para entregar el dinero a usted. Usted está en contacto con su oficial de créditos asignados a continuación con su información requerida es:

Departamento de Verificación de Reclamaciones.

Nombre Srs. Maria Kalsson Nurmi
Correo electrónico: premios10@live.com

Envíe realmente al susodicho Administrador de Reclamaciones por correo electrónico, inmediatamente con este Reclama Exigencias; 1. El Nombre 2 Lleno. Dirección: 3. Nacionalidad: 4. Edad: 5.Ocupación: Naturaleza de Trabajo: 6. Telefonear: Fax: 7. Estado de Origen: País: 8.Sexo: 9. Ganancia de Correo electrónico Dirección:

Modo de Premio Entrega de Remittance:Courier de su Cheque de Ganancia Certificadoy otros Documentos de Ganancia sin peligro a usted.

Atentamente,
Doctor Margarita Munoz.
Diríjasse Cliente Se preocupan el Servicio.
Copyright © 2010 MasterCard Inc el Reino Unido

Si no alcanzaste a notar el tono sarcástico (debería existir una etiqueta para ese fin, de pronto en el HTML 6..), déjame te explico de que se trata todo esto. El correo que acabas de ver anteriormente es una variante de un conocido fraude en Internet llamado “Estafa Nigeria”.

La estafa Nigeriana es un fraude que normalmente se realiza por correo electrónico, consiste en ilusionar a la víctima con una gran fortuna, que en realidad no existe, con el objetivo de persuadirla para que luego envíe una”pequeña” suma de dinero por adelantado como condición para acceder a la supuesta fortuna. Es decir, se le promete a la víctima el todo o parte de una inexistente cantidad millonaria de dinero, para luego convencerla – mediante excusas muy elementales inventadas – a adelantar cierta cantidad de dinero propio al estafador.

Claramente este mensaje en particular, ha sido adaptado para el publico de habla hispana, pero al parecer es un español traducido por Google (note los errores como “Diríjasse Cliente Se preocupan el Servicio.”), al responder el correo, el atacante empezara con sus dotes de ingeniería social (y armado de toda nuestra informacion personal proporcionada), creara una historia personalizada, con la que intentara sacarnos nuestro dinero… pero ¿y si realmente era Mastercard con Microsoft, quien nos envío el correo?, vamos a ver como podemos diferenciar fácilmente una estafa de este tipo de un correo normal.

Como identificar una estafa por Internet?

• TE PIDEN ALGO: Normalmente este tipo de estafas te piden que realices alguna acción, ya sea visitar un enlace, responder el correo, enviar información, llamar a un numero… Cuando veas un correo en el que te piden que realices alguna acción, revisalo muy bien, a menos que confíes plenamente en la persona que te envió el correo y confirmes personalmente que efectivamente esa persona fue quien te envió ese mail, NO HAGAS NADA
  
• TE OFRECEN ALGO A CAMBIO: Es mas fácil que realices una tarea si recibes algo a cambio, por eso siempre te ofrecerán algún beneficio a cambio de tu acción, mejor seguridad en tu cuenta bancaria, trabajo, grandes cantidades de dinero, viajes, objetos, etc..
• DIRECCIONES DE CORREO: Por lo general las direcciones desde las que se envían estos correos dejan mucho que desear, para la muestra, este correo fue enviado desde la cuenta museosenvivo@buenosaires.gob.ar (ya que posiblemente este servidor se encuentre mal configurado o fue vulnerado para enviar correo no deseado), no sabia que microsoft enviaba sus correos desde buenosaires.gob.ar, pero ahí no paran las direcciones sospechosas, en el correo nos dicen que enviemos nuestros datos a premios10@live.com y en la configuración del correo esta la cuenta premioss@live.com como la opción de respuesta por defecto.. ¿realmente crees que Microsoft y Mastercard enviarian un premio de estos, desde cuentas gratuitas de correo?… y mas con esos nombres….

Afortunadamente para este tipo de fraudes por correo electrónico la solución es muy simple, identificar que se trata de una estafa, denunciar el correo como Spam (si tu cliente de correo lo permite) para evitar que le llegue a mas gente y eliminar el mensaje.

Te sugiero sigas las recomendaciones que encontraras en estos artículos de la comunidad:

• Protegerse de las estafas en Internet
• ¿Que es el Phishing?
• Phishing a Movistar Colombia
• Phishing en Bancolombia

También puede interesarte...

• Me gané 2 Millones de Dolares!!
• Sena Virtual Cursos Gratis de Informática
• Phishing a Movistar Colombia
• Vinton Cerf (Creador de Internet) en Colombia
• Descargar Windows 7 Release Candidate 1
• Actualiza tu equipo con Windows
• Descargar Gratis Internet Explorer 8 Final
• Nueva Versión del CAINE, LiveCD para Informática Forense

Aunque no es algo nuevo, últimamente se habla mucho sobre DLL Hijacking o suplantación de librerías DLL, gracias al reciente fallo de los  sistemas Microsoft Windows que permite ejecutar código malicioso, colocando la dll a suplantar en la misma carpeta del programa ejecutable, descubierto hace poco por HD Moore y explicado a fondo en su articuloExploiting DLL Hijacking Flaws, también ha publicado un kit, para buscar aplicaciones que puedan ser vulnerables a este tipo de ataque DLLHijaAuditKit.

Precisamente en esta ocasión les traigo un vídeo de Offensive Security, donde nos enseñan como aprovechar este fallo en Microsoft Office 2007 utilizando el Metasploit Framework.

Microsoft ha publicado una solución temporal al fallo (catalogado como critico), pero la solución es que los desarrolladores empiecen a utilizar metodologías de desarrollo seguras, para evitar que sus aplicaciones sean vulnerables.

También puede interesarte...

• Vídeo: Introducción al Metasploit Framework
• Metasploit Framework 3.2 Portable para Windows
• Metasploit Framework Portable
• Video Tutoriales de Metasploit Framework
• Video Tutorial SET (Social Engineering Toolkit)
• Manual en español de Meterpreter
• Manual de Metasploit Framework en Español
• Creando un Exploit Paso a Paso