viernes, noviembre 30, 2018

Los diez mandamientos de la Ética Informática

1. No usarás una computadora para dañar a otros.
2. No interferirás con el trabajo ajeno.
3. No indagarás en los archivos ajenos.
4. No utilizarás una computadora para robar.
5. No utilizarás la informática para realizar fraudes.
6. No copiarás o utilizarás software que no hayas comprado.
7. No utilizarás los recursos informáticos ajenos sin la debida autorización.
8. No te apropiarás de los derechos intelectuales de otros.
9. Deberás evaluar las consecuencias sociales de cualquier código que desarrolles.
10. Siempre utilizarás las computadoras de manera de respetar los derechos de los demás.

¿Qué factores crean la Tormenta Perfecta Digital?

1.- La industria es vulnerable. No estamos preparados para enfrentar la amenaza cibernética, en forma técnica, organizacional u operativa.

2.- La amenaza se está expandiendo e intensificando.

3.- Las jurisdicciones legales a menudo protegen a los criminales y naciones detrás de la amenaza.

4.- El gobierno está muy por detrás de la curva y su estrategia no puede estar a la altura de la amenaza.

5.- El marco regulatorio global es inconsistente. Incluso dentro de los Estados Unidos, hay diferencias significativas entre los estados y entre los estados y el gobierno federal.

6.- La propiedad intelectual y los compromisos de secreto comercial normalmente no se ajustan a las pautas de presentación de informes, aunque se aplican algunas excepciones, como en la industria de la defensa y en algunas infraestructuras críticas.

7.- El nivel de conciencia del problema por parte de la dirección ejecutiva y las juntas directivas son demasiado bajas.

8.- Las compañías que operan con pequeños márgenes de ganancia caminan por la cuerda floja cuando deciden invertir en seguridad.

9.- La seguridad a menudo se considera un problema de tecnología y no un problema operativo. Cuestión de riesgo.

10.- Los dispositivos móviles están creando una arquitectura de información altamente distribuida.

11.- Los medios sociales permiten el intercambio de datos sin precedentes.

12.- La ingeniería social para el acceso a la información está alcanzando nuevos niveles y es más fácil de ejecutar debido a las redes sociales

13.- Muchas empresas no han calculado adecuadamente el riesgo potencial impacto de un ataque cibernético que está dirigido específicamente a esa empresa o en la que son una de las muchas víctimas de la empresa en un ataque de mayor escala.

14.- Más y más información se traslada hacia terceros.

15.- La amenaza interna sigue atormentando a las empresas, y puede empeorar porque no investigamos los antecedentes de manera adecuada.

16.- Muchas empresas están negando su vulnerabilidad.

(extraído de Cyber Threat! De N. MACDONNELL ULSCH)

miércoles, septiembre 12, 2018

Sueño sobre Negociaciones

Hace unas noches soñé sobre el siguiente concepto: BMB (Be My Business). Esto significa que en toda transacción se debe considerar a la contraparte como una oportunidad de negocio. En mi sueño esto no era sólo parte de un concepto financiero, sino que era transversal a todas las estructuras que fueran de tipo transaccional, por lo que se podía aplicar como una norma para, por ejemplo, protocolos tecnológicos como internet.

 

Sus derivadas eran 4, pero sólo recuerdo 2:

OBMB (Optimal Be My Business): Se refiere a la negociación en la que ambas partes ofrecen el máximo de productos y servicios al otro, de manera que sea WIN WIN para ambos. Un trueque es lo que más se aproxima a esta figura.

RBMB (Restrictal Be My Business): Se refiere a la negociación, en la que se ofrece el mínimo exigido para tratar de obtener el máximo de beneficios para por lo menos una de las partes. El uso del dinero representa este tipo de transacción.

 

 

 

lunes, septiembre 10, 2018

Ethical hacking - FootPrinting

Es la primera etapa de un test de intrusión. En el cual se recolecta el máximo de información para identificar vías para invadir cualquier organización.

 

Footprinting permite:

 

Conocer postura de seguridad: Realizar footprinting en la organización objetivo de una manera sistemática y metódica da el perfil completo de la postura de seguridad de la organización

 

Reduce el área de ataque: Al usar una combinación de herramientas y técnicas, los atacantes pueden tomar una entidad desconocida y reducirlo a un rango específico de nombres de dominio, red, bloques, y direcciones IP individuales de sistemas conectados directamente a Internet, así como muchos otros detalles relacionados con su postura de seguridad.

 

Base de Datos de Información: Una descripción detallada proporciona la máxima información sobre la organización objetivo. Los atacantes pueden construir su propia base de datos de información sobre la debilidad de seguridad del objetivo organización. Esta base de datos se puede analizar para encontrar la forma más fácil de entrar en el perímetro de seguridad de la organización.

 

Diagrama de mapa de red: La combinación de técnicas de huella con herramientas como Tracert permite al atacante crear diagramas de red de la presencia de red de la organización objetivo. Este mapa de red representa su comprensión de las aplicaciones de Internet para el diseño. Estos diagramas de red puede guiar el ataque.

 

Objetivos

 

 

Herramientas de Búsqueda:

 

  • Motores de búsqueda
  • Url externas e internas de una compañía
  • Sitios públicos y restringidos
  • Información Local: Google Maps
  • Búsqueda de Personas
  • Búsqueda de Personas a través de redes sociales
  • Información en Servicios Financieros
  • Sitios de Búsqueda de Trabajos
  • Monitorear Objetivos a través de Alarmas: https://www.google.com/alerts

 

  • Obtener Información de las Cabeceras de Emails

 

  • Seguimiento de Emails (tracking)
  • Inteligencia Competitiva

 

  • [intitle:intranet inurl:intranet + intext:"recursos humanos"]

 

 

Elaborar un reporte de testeo

 

 

(resumen de CEHv8 Module 02 Footprinting and Reconnaissance)