Thursday, July 21, 2011

RSMangler personalizado para generar mas palabras h4x0r

El otro dia uno de los colegas en Open-Sec me hablaba sobre su fascinacion con CUPP (http://www.remote-exploit.org/?p=546) y como hacia algo que RSMangler no hace por default : generar palabras en h4x0r y someterlas a las mismas combinaciones que hace con las palabras normales.

Cuando uno pasa palabras de entrada a RSMangler y le pide generar palabras h4x0r a partir de las originales (opcion leet que esta activa por default), solamente genera una palabra h4x0r por cada palabra original y no la combina con otros valores como hace con las palabras originales y normales (numeros, letras, años, caracteres especiales). CUPP si lo hace.

Entonces, aparecio el reto y, en realidad, solo posteo esto para que se aprecie el valor del software abierto que permite que uno siga usando su aplicacion favorita solamente haciendo pequeños cambios al codigo fuente (en este caso es mas patente aun porque RSMangler es un script en Ruby).

La seccion de programa que hay que adicionar antes del loop de generacion es :

file_words.each { |y|
wordlist << y.gsub(/e/, "3").gsub(/a/, "4").gsub(/o/, "0").gsub(/i/, "1").gsub(/l/, "1")
}

wordlist.each { |x|
results << x

results << x+x if double
results << x.reverse if reverse
results << x.capitalize if capital
results << x.downcase if lower
results << x.upcase if upper
results << x.swapcase if swap
results << x + "ed" if ed
results << x + "ing" if ing

if common
(Continua el loop de generacion).

Como se ve, genera las palabras h4x0r adicionandolas a la lista original de forma que cuando entra al loop de permutaciones y generacion de palabras, tambien son afectadas, es decir, combinadas con los otros valores. De esta forma, esta funcionalidad hace lo mismo que CUPP.

Tambien es importante resaltar, por si no se aprecio, que la porcion de codigo necesaria ya se encuentra en el programa y solamente se aplica antes del loop de generacion.

NTP 17799 de cumplimiento obligatorio con fecha limite 31.12.2012

Esta norma ha hecho mucho bien a las organizaciones del Estado peruano porque ha hecho que esten mas concientizados, no importa que la mayoria ni siquiera ha leido el documento.

Tambien ha sido positivo porque al amparo de dicha norma, se han hecho evaluaciones de seguridad y negativa porque ha sido utilizada para justificar compras de productos que ni los usan o los usan mal.

Ahora, nuevamente se pone una fecha limite de cumplimiento como se hizo hace años. Que paso con los que no cumplieron ? Nada! Quien evalua el cumplimiento ? Nadie!

El Decreto no hace otra cosa que ser majadero al pedir cumplir con tener un plan de seguridad como si alguna organizacion en el mundo pudiese tomar la NTP 17799 (ISO 27002) y cumplir al 100% con todo lo expuesto en ella. Eso implica desconocer el estado evolutivo (involutivo en algunas entidades como la ONGEI) de toda organizacion y que eso es precisamente la base de tener un estandar que si es certificable (evaluable, comprobable, controlable) como el ISO 27001.

Definitivamente, yo ando pensando que solamente "la empresa privada" es la asesora de ONGEI y que cosas como esta obligatoriendad podrian estar apuntando a dejar sembradas opciones de negocio para esa "empresa privada". Espero equivocarme y que esto no sea asi.

Espero tambien, que el proximo gobierno ponga orden y defina una Oficina Nacional de Seguridad que defina la estrategia nacional de seguridad de la informacion y seguridad informatica.

Thursday, July 14, 2011

Resultados del Concurso en SUNARP

La información esta en el web de SEACE y aunque no es sopresa el postor que obtuvo la buena pro, si es de particular interes una nota colocado en el cuadro de calificación técnica que dice :
"(*) El Certificado CISSP correspondiente al SR. Juan Pablo Baby fernandez, se encuentra expirado a mayo de 2011, por lo que el postor no acredita contar con 02 profesionales con certificación CISSP."
Qué pasó? Otra vez no se dieron cuenta que presentaban un certificado expirado ? Presentaron un C|EH (hasta donde se, la persona mencionada esta certificada como tal), pidieron el certificado que muestre que esta vigente su certificación y que mantiene sus 120 ECE por año ?
La verdad es que estos puntos determinan la calidad de postor, proveedor y consultores y por ello es que debería ser revisado cuidadosamente.
Y qué pasó con los otros que participaron en el estudio de mercado e incluso en el proceso mismo ? Por qué finalmente no cotizaron ? No calificaban ?

Friday, July 08, 2011

Se vende cebo de culebra...ah! y tambien inventamos metodologias y certificaciones internacionales de prestigio!

Parece que existe una fuente inagotable de ganas de hacer que nuestras entidades del Estado aparezcan como las más desinformadas de este planeta Tierra.

En unos Terminos de Referencia pude observar el otro dia que pedian cumplir con las siguientes metodologias :
  1. Open Source Security Testing Methodology
  2. SANS Institute Security Testing Best Practices
  3. CERT Security Testing Best Practices
  4. NIST Security & Risk Management Best Practices
  5. NIST Special Publication 800-115
  6. Open Web Application Security Project
Lo terrible de este requerimiento es que las numero 2, 3 y 4 NO EXISTEN. Una rapida busqueda por Internet (Google, Bing y entrando a los sitios de cada organizacion) nos muestra unicamente una presentacion hecha por Deloitte en Europa.

Luego, en otros Terminos de Referencia, para garantizar que los evaluadores tengan un nivel de conocimiento adecuado se exigen certificaciones y esto es 100% correcto y adecuado. Lo gracioso y tragi-comico es que a la par que las certificaciones de ISC2, ISACA, EC Council, Offensive Security, GIAC, Mile2 ponen dos mas bien particulares :
  • eCPPT que es una bastante nueva y que se esta empezando a difundir. No se tiene informacion de la cantidad de personas certificadas en el mundo, pero, se que al menos aca hay una persona certificada.
  • SOHP Stack Overflow Hacking Professional que, despues de este post, por fin vera la luz del mundo...sencillamente esta certificacion NO EXISTE o, si existe, debe ser tan reservada y privada que solamente su poseedores saben de su existencia. Esto es una burla tremenda que equivaldria a quere posicionar el Open-Sec Ethical Hacker al nivel de las certificaciones de EC Council, GIAC, Offensive Security, Mile2 e incluso la de eCPPT!
Por esas razones es que es post inicia diciendo "Se vende cebo de culebra..." porque eso les venden CASI TODOS a las entidades del Estado.

El problema a resolver es la falta de conocimiento de las personas que elaboran estas especificaciones en el Estado, pero, me preocupa mas la falta de etica de quienes les plantean exigir cosas que no existen y eso es una BURLA al intelecto.

Y ojo que si la existencia e internacionalizacion de las certificaciones determina que puedan considerarse como garantia para servicios de ethical hacking, entonces, consideremos al OSEH porque tiene mas de 250 personas certificadas entre Perú, Ecuador y Honduras. Algo que no haremos porque no nos dedicamos ni a la educacion y a certificar personas como core de nuestro negocio.

Apliquen metodologias de verdad! Vayan y saquen certificaciones de alto nivel! No tengan miedo! No se burlen del intelecto de las personas!

Buen fin de semana!

Friday, July 01, 2011

Proceso publico en SUNARP : S/.171,850 por un ethical hacking tradicional a 97 hosts (aproximadamente)

No pensaba expresarme publicamente al respecto, pero, dados mis posts pasados y el comentario a la nota de ISSA Perú, no puedo dejar pasar esta equivocada forma de contratar un servicio de ethical hacking.

Se trata de un servicio tradicional de ethical hacking para aproximadamente 97 hosts. En forma interna (65) y externa (32). Dejare el tema monetario para el final.

A los consultores se les exige ser Ingenieros Titulados con 5 años de experiencia laboral unicamente sin especificar que tipo de experiencia. Lo primero es exigido por el dichoso Reglamento de Contrataciones y Adquisiciones como dije en un post anterior, PERO, no deberia exigirse experiencia en ethical hacking cuando menos ?

Vuelvo a hacer notar que deberian analizar el mercado local y ver cuantos ingenieros titulados estan metidos en temas de ethical hacking.

Luego, como certificaciones se exigen algunas referidas a seguridad de la informacion y no sobre ethical hacking y/o penetration testing que son respecto a SEGURIDAD INFORMATICA. No existe una sola persona en SUNARP que sepa esto ? Donde esta la ONGEI con sus expertos en seguridad y su apoyo de la empresa privada que no los asesora ? Para este proceso estuvo convocado un proveedor que tuvo la actitud honesta y valiente de decirles por email que no estaban haciendo un proceso que otorgue valor a la entidad y que hicieron ? Sencillamente, lo ignoraron (iniciales otra vez MC de PC, no fue nadie de Open-Sec porque ya habiamos visto fallas hace tiempo en este proceso).

La unica certificacion que se considera para dar puntaje adicional es la de C|EH, pero, recibe el mismo puntaje que una de CISSP o CISA. Por favor! A mis amigos que tienen certificaciones como esas y a los que ademas tienen sobre hacking : puede una certificacion de CISSP, Lead Auditor 27001, Cobit-F o CISA garantizar que el consultor hara una buena labor de hacking ?! NO! Grande, mayusculo y rotundo.

Y por ultimo, el precio basado en un estudio de mercado que parece haber sido hecho de forma mas consciente y responsable que otros que he podido apreciar (algunos no ponen ni el nombre de las empresas que participaron en dicho estudio). Pero, aceptar que se ponga un monto referencial de S/.171,850 por hacer ethical hacking a 97 hosts ?! Poco mas de S/.1,770 soles por host!! Wow!
Para una mejor comprension de las tasas : comprar un servicio de un reconocido como SAINT para la parte externa les salia mucho mas barato : menos de US$3,200 por los 32 hosts externos! WebSAINT PRO
Ni siquiera se piden comprobaciones manuales en todos los hosts, con lo cual, pasara lo que paso en un cliente : llegan llenos de appliances y software automatizado, lo corren, elaboran reportes tambien automatizados y 2 meses despues se les mete un intruso por una vulnerabilidad que el consabido "ethical hacking" no encontro!

Mas aun, durante el estudio de mercado y la bases publicadas no se presenta la cantidad de hosts a evaluar y se hace de conocimiento publico esta informacion en la etapa de consultas y observaciones. Quiere decir que cuando pidieron las cotizaciones si indicaron la cantidad de hosts y no la colocaron en las bases ? O es que los proveedores que cotizaron para ese estudio de mercado se lamieron el dedo, lo expusieron al aire y zas! se les vino el numero magico a la mente!

Lamentablemente, quienes deberian manifestarse se quedan callados en una sociedad hipocritamente condescendiente donde, los que se manifiestan en contra de estos atropellos al intelecto, son calificados de conflictivos.

Y por si acaso, como puede parecer a mas de uno que esta nota es una piconeria porque no dieron valor a la experiencia y certificaciones de hacking, recibi la invitacion a participar en el proceso por parte de un postor y me negue porque no estoy de acuerdo en participar en un proceso que cuestiono.

Saludos!