En el principio estaban sólos los pcs en la empresa

El hombre los interconectó a través de un esquema de red cableada y se dio cuenta que era bueno, luego conectó impresoras y se dio cuenta que era mucho mejor.

Al día siguiente los usuarios requirieron ingresar a Internet, y el hombre contrató el servicio y colocó un dispositivo de red a través del cual unos usuarios en la empresa tenían acceso a Internet.

La red creció y el router por el que todos salían no fue suficiente. Entonces el hombre se dio cuenta que podía colocar un firewall, implementó un sistema Linux y todos en la empresa pudieron salir a Internet. Por seguridad, el hombre bloqueo todo acceso desde afuera, así que nada entraba, entonces el hombre se sintió seguro.

Al día siguiente la cantidad de usuarios de la empresa aumentó en gran medida, entonces el hombre no podía administrarlos, así que encontró una tecnología llamada LDAP y creó un árbol a través del cual configuraría todos los usuarios y permisos, pero tenía un problema, por que era necesario que los usuarios pudieran iniciar sesión y no tuvieran permisos de administrador, así que usando SAMBA desde equipos Windows se podían interconectar con el sistema OpenLDAP, y el hombre se sintió a gusto.

Al día siguiente el hombre se dio cuenta que necesitaba crear formas de comunicación interna y externa, así que implementó un sistema de correo electrónico (Postfix, Zimbra, Qmail, etc) el cual se asoció con LDAP para tener los mismos usuarios del dominio, también implementó un servidor de mensajería instantánea para comunicación entre los usuarios también asociado con el sistema LDAP. Pero estos 2 sistemas requerían persistencia, entonces el hombre en un servidor implementó un sistema de bases de datos MySQL para almacenar información. Entonces también el hombre notó la necesidad de comunicarse vía telefónica sin invertir mucho dinero en una planta telefónica, así que encontró en Asterix el sistema para poder tener a todos comunicados fácilmente dentro y fuera de la organización, así que lo implementó en un servidor y ya todos se podían comunicar.

Al día siguiente en la empresa, el hombre se dio cuenta que había crecido rápidamente y los usuarios no estaban usando bien los recursos de comunicaciones y acceso a Internet, entonces el hombre agregó al sistema de firewall un sistema de proxy (Squid, dansguardian, S.M.A.R.T.) a través del cual escogió a que podían acceder los usuarios y la red mejoró al igual que la seguridad de la información.

La empresa se dio cuenta que podía ofrecer sus productos y servicios más allá de lo físico, entonces el hombre implementó un servidor web y pudo escoger entre varias opciones (Apache, Cherokee, Lighthttpd, etc) a través del cual creo la página de la empresa y la puso a disposición de todos al habilitar el acceso desde Internet a ese servidor, la información de la página fue almacenada en una base de datos MySQL junto con las otras bases de datos.

Las ventas y requerimientos aumentaron entonces el hombre se vio en la necesidad de implementar sistemas de ERP y CRM (OpenBravo, OpenERP, SugarCRM, Adempiere, etc) dentro de la empresa, pero estos tenían requerimientos de persistencia más complicados, entonces el hombre implementó un servidor de bases de datos PostgreSQL y para el funcionamiento de la aplicación, implementó un sistema de Web Application Server y tuvo para escoger (Jboss, Glasfish, Tomcat) y sobre el implementó su solución de ventas y gestión interna.

El hombre se percató que los servidores no estaban seguros y que la información de la página no tenía información del CRM o ERP, entonces tomó varias decisiones:

- Creó una DMZ y allí colocó los servidores de cara a la red y les aplicó controles especiales a través del firewall.

- Creó un sistema de interacción entre la base de datos MySQL (Frontend) y PostgreSQL (Backend) para que la página siempre estuviera al día en información de productos y servicios y el CRM igual

Al día siguiente el hombre se percató que estaba manejando altos volúmenes de información en servidores y computadores de escritorio, además que se dio cuenta que no estaba haciendo copias de seguridad, entonces tomó varias decisiones:

- Implementó un sistema de copias de seguridad con Bacula, el cual a diario entraba en cada máquina y guardaba la información más importante de los usuarios y en las noches entraba a los servidores y guardaba la información de varias formas (backups diferenciales y fulls los fines de semana).

- Implementó un sistema de NAS (Network Attached Storage) en donde almacenó la información de copias de seguridad, directorios compartidos para usuarios y áreas con una gran capacidad de almacenamiento.

El hombre se percató que la empresa se estaba llenando de servidores, entonces esto se traducía en altos consumos de energía y dificultaba la administración, así que el hombre encontró en la virtualización la solución a muchos de sus problemas, ya que a través de varias tecnologías como XEN y KVM virtualizó en unas pocas máquinas, gran parte de sus servidores, así redujo consumo de energía e hizo de la empresa un lugar más ecológico.

Pero aún había un problema, seguían siendo muchos servidores y era necesario saber si todo estaba bien, entonces el hombre encontró en el software de monitoreo la solución a sus problemas, ya que no sólo monitoreaba comportamiento de servidores a través de Zenoss e Hyperic, sino que también analizaba la red y su tráfico a partir de MRTG y NTOP, y aseguraba la red con un sistema de detección y prevención de intrusos llamado OSSEC, teniendo en su empresa un esquema seguro, donde existía:

Seguridad, almacenamiento, contingencia, contenidos, comunicaciones, persistencia, monitoreo, administración de usuarios y perfiles, interoperabilidad y virtualización, además de que en su gran mayoría se realizó con código abierto y estándares abiertos.

Les dejo el enlace de la presentación realizada en el FLISoL de la ciudad de Bogotá

• CISSP, más allá de una certificación en seguridad
• Business Continuity Plan: una necesidad más que una opción
• Análisis de riesgos, no es sólo paranoia
• Seguridad VS Usabilidad: Mejor educar
• Conoce OWASP, una excelente iniciativa de Seguridad

El escribir semanalmente ha sido una tarea muy agradable y la he disfrutado al máximo ya que cada artículo aborda conocimientos previamente adquiridos que voy afianzando en mis estudios de maestría y de certificación para CISSP, examen que presentaré espero satisfactoriamente en Mayo (Miedooooo).

Seguiré escribiendo continuamente de otros temas de actualidad en este apasionante mundo de la seguridad de la información.

PD: Estoy muy contento con mi trabajo actual jejejeje

Ya está publicado el primer artículo dedicado a la certificación CISSP para la cual llevo estudiando un mes y cuyo examen presentaré a finales de Mayo, o bueno, eso espero. Así que semanalmente encontrarán un artículo sobre los temas que mencioné anteriormente, espero sean de agrado de todos.

Espero les sea de interés.

2 meses de estudio de conceptos, herramientas, práctica y mucha mucha información fueron la clave además de consejos de amigos expertos en seguridad, para alcanzar una nueva certificación: Certified Ethical Hacker. Esta tenía un sazón especial y radicó en que demostré la experiencia profesional en el tema y me fue permitido presentar el examen. El día 11 de noviembre en las horas de la mañana tras enfrentar un largo examen de 150 preguntas con alguna sencillas, otras complejas (Bluetooth y VoIP). Este es el primer paso para trabajar en la senda de seguridad una ruta que estoy trabajando desde hace unos años en combinación con la vida de sysadmin.

Pero, ¿qué queda del estudio?, ¿cómo complementar el estudio?

1. Bibliografía recomendada:

• CEH Certified Ethical Hacker Study Guide
• The CEH Prep Guide: The Comprehensive Guide to Certified Ethical Hacking

2. Pruebas técnicas y de hacking

• Emplear un sandbox o caja de arena para atacar, esto puede hacerse con máquinas virtuales o entornos de ataques como los mencionados aquí
• Utilizar las herramientas que poco a poco se van explicando en la documentación y material de estudio del CEH.
• Analizar escenarios en que puede llegar a aplicarse cada técnica/ataque/estrategia de ataque explicada.

3. Lecturas complementarias

• Gray Hat Hacking The Ethical Hackers Handbook (Cortesía @darkoperator)
• Certified Ethical Hacker Exam Prep

4. Recursos adicionales

• CEH CBT Nugget
• CEH Video Tutorials

Un último recurso muy importante es estar suscrito a listas de correo, seguir usuarios de twitter en temas de seguridad y estar constántemente revisando diversos temas para mejorar las capacidades y aprender nuevas cosas.

Establecer metodologías y procedimientos para establecer un posible ataque es lo que diferencia un hacker ético o pentester de un usuario de herramientas de exploración y explotación de vulnerabilidades, e incluso de los tan odiados “script kiddies”. Sin embargo, basados en la ética y la responsabilidad que conllevan este tipo de actividades en algunos entornos consideradas como delitos, es necesario establecer entornos de prueba en los cuales sea posible explotar vulnerabilidades y llegar a realizar ataques tales como la inyección de comandos (sql, del sistema, etc), XSS, robo de sesiones (hijacking), entre muchos otros, en un listado que crece a diario. A continuación presento algunos recursos que resultan de utilidad para lo antes mencionado:

DVWA: Se trata de un entorno educativo que contiene ejemplos de código vulnerable a diversos ataques, además de comparaciones de código mejor desarrollado o código que se puede considerar seguro, esto de la mano con un sistema de IDS denominado PHPIDS el cual puede identificar posibles ataques que se estén realizando con la plataforma. Es muy educativo y vale la pena darle una mirada. Más info aqui.

Moth: Se trata de una máquina virtual para ser ejecutada bajo Vmware, la cual cuenta con aplicaciones web de diversos tipos (CMS, Webapp en tomcat, ruby). A pesar de que ya ha pasado un tiempo considerable desde su último lanzamiento, sigue siendo una excelente oportunidad, de código abierto, para contar con un entorno con aplicaciones vulnerables listas para ser analizadas y posteriormente atacadas. Más info aquí.

Finalmente, nada mejor que hacer la implementación de versiones de software tipo CMS tal como Joomla, Drupal, WordPress, PHPbb, Mambo y muchos más, a partir de esto, será posible realizar ataques con exploits disponibles y entender como funcionan y por que no, mejorarlos tal vez para nuevas versiones, para esto podemos emplear máquinas virtuales en las cuales vamos sacando snapshots o instantáneas antes de los ataques para restablecer en caso de que algo falle o todo funcione .

Finalizo con una frase que ha sido mi mantra en los estudios para la certificación CEH de la que hablaré próximamente: “Para ser el mejor policia, debes saber pensar como el mejor ladrón”.

Aprovecho esta entrada para agradecer el apoyo y enseñanza de una personas que me ha colaborado y guiado por esta senda de la seguridad en el último año: @darkoperator quien lleva mucho tiempo en este cuento y ha sido una gran guía.

Clic en la imagen para ver el mapa.

• Asistir a las conferencias y talleres, hay muchas que valen la pena y que pueden aportarte conocimiento de utilidad para tu vida tecnológica y claro, laboral
• Realizar hacklabs o actividades técnicas con software, hardware con amigos, conocidos, aprovechar el furor tecnológico para hacer esas cosas que solemos querer hacer pero que siempre solemos decir que no tenemos como o el tiempo.
• Blogear, publicar fotos, videos, entrevistar personas, vivir la fiesta más allá de la silla y el punto de red que usas.
• Comparte con personas de otras áreas, esto es lo que hace la fiesta, recuerdo bien un torneo de Urban Terror que se hizo hace 2 años con Gamers y fue una integración agradable entre las áreas de software libre y juegos.
• Participa en los concursos, busca ganar los torneos, las pruebas, es muy divertido.
• Esta fiesta se la hace cada persona, así que hazla divertida para ti y quienes te rodean.

¿Que haré yo?

• Hackear el iphone para ponerle a funcionar con Android
• Hacer un wargame entre amigos sobre seguridad y bastionado de sistemas operativos y aplicaciones
• Dar una conferencia junto a Ruri Himura, mostrando el trabajo de año y medio en torno a seguridad y gobierno de TI
• Compartir con amigos, con bloggeros, gamers, desarrolladores y gente en seguridad y redes, conocimiento, actividades y momentos divertidos
• Realizar en algún espacio el lanzamiento del Software Freedom Day Bogotá 2010 con transmisión en línea
• Conseguir y compartir material de educación y de certificaciones
• Lo más importante, ser feliz y pasarla bien.

¿Y tu que vas a hacer?