Paper.- Los costes ocultos de los certificados SSL autofirmados

Si, el titulo es un poco largo y posiblemente ya sabéis por donde va el tema, esperad que os pongo un poco al día.

Hoy en mis que haceres matutinos me ha sorprendido un hombre que me aseguraba que un certificado autofirmado era valido por qué la empresa que se ocupaba de instalar la herramienta se dedicaba exclusivamente a ello y por ahorrarse unos Euros pues que no lo iban a cambiar. Por lo que mi cabeza a empezado a dar chispazos y les he tenido que pasar el siguiente Paper para que entraran un poco en razón.

 

Es un poco antiguo pero a mi me ha venido la mar de bien para explicarles porque un certificado autofirmado es inseguro y ademas da una visibilidad horrenda de la empresa. Sobretodo he remarcado lo siguiente

Otro de los riesgos de usar certificados autofirmados para sitios internos es que los empleados acaben por hacer caso omiso de los avisos de seguridad del navegador y empiecen a añadir certificados a la lista de certificados fiables cuando de hecho no lo son . Esto no solo pone en riesgo las redes y sistemas internos, sino que además conduce a una peligrosa actitud de permisividad respecto a la seguridad de la empresa y va en contra de las normas más básicas de
seguridad de cualquier sistema interno . 

Por último, con los certificados autofirmados las empresas también corren más riesgo ante las amenazas avanzadas persistentes (APT) o los ataques con varios vectores, debido a que las CA internas suelen carecer de los procesos y medidas de seguridad que sí adoptan las CA externas .Por ejemplo, puede darse el caso de que el servidor donde se almacene y administre CA esté conectado a la misma red que se utiliza también para otros sistemas, sin establecer límites
de seguridad físicos adicionales . Normalmente, las CA internas carecen de control de acceso biométrico para utilizar la clave raíz que genera los certificados . Esto incide negativamente en
el nivel de seguridad y el rigor con el que se emiten los certificados . En definitiva, las empresas operan con un falso sentido de la seguridad .

Enlace al paper: 

•  https://symantec.certicamara.com/media/4252/costos_ocultos_de_los_certificados_autofirmados.pdf

Sed Buenos ;)

Cybrary.- Cursos de seguridad online

Formarse siempre esta bien y cuando empezamos en este mundo se nos aparecen un montón de certificaciones con muchas siglas raras y la verdad es que al principio estas bastante perdido  y no sabes que probar ya que todo cuesta dinero. 

Pues Cybrary nos ofrece bastantes cursos gratis y la posibilidad de hacerlos desde su App, lo cual mola mucho.

Aquí tenéis algunos ejemplos:

• Comptia Security+
• Security Awareness
• Curso de criptografía
• Curso de Ethical hacking y pentesting
• Curso de hacking e informática forense
• Comptia Advanced Security Practitioner
• ISACA Certified Information Systems Auditor (CISA)
• Certified Information Systems Security Professional (CISSP)
• Curso de post Explotación
• Social Engineering and Manipulation
• Python para profesionales de ciberseguridad
• Curso de Metasploit
• Curso de ingeniería inversa y Análisis de Malware
• Advanced Penetration Testing por Georgia Weidman

Fuente:

• https://protegermipc.net/2017/01/12/cursos-de-seguridad-informatica-gratuitos-cybrary/ 

Yo ya tengo un par o tres de cursos que quiero empezar este año y si he conseguido que os pique la curiosidad de formaros, este es el enlace a Cybrary: 

• https://www.cybrary.it/

Sed Buenos ;) 

Toda la Documentación CEHv9

Este fin de semana he de darle muy duro al tema del CEH así que os dejo con toda la documentación que tengo ahora mismo por si os atrevéis a sacaros la certificación vosotros también:

• CEHv9_Module_01_Introduction_to_Ethical_Hacking 
• CEHv9_Module_02_Footprinting_and_Reconnaissance 
• CEHv9_Module_03_Scanning_Networks 
• CEHv9_Module_04_Enumeration 
• CEHv9_Module_05_System_Hacking 
• CEHv9_Module_06_Malware_Threats 
• CEHv9_Module_07_Sniffing 
• CEHv9_Module_08_Social_Engineering 
• CEHv9_Module_09_Denial-of-Service 
• CEHv9_Module_10_Session_Hijacking 
• CEHv9_Module_11_Hacking_Webservers 
• CEHv9_Module_12_Hacking_Web_Applications 
• CEHv9_Module_13_SQL_Injection 
• CEHv9_Module_14_Hacking_Wireless_Networks 
• CEHv9_Module_15_Hacking_Mobile_Platforms 
• CEHv9_Module_16_Evading_IDS%2C_Firewalls 
• CEHv9_Module_17_Cloud_Computing 
• CEHv9_Module_18_Cryptography 

Siento que sea una entrada super corta, pero ya sabéis la razón y ademas tengo un forense pendiente de ayer ya que el smartphone me va raro...

Mas información, herramientas y Labs:

• https://underc0de.org/foro/hacking/ceh-v9-certified-ethical-hacker-v9-course-pdf-tools/

Sed Buenos ,) 

Aplicando Un Certificado En Nexpose

hace unos días me vi con este problema, necesitaba importar un certificado digital a Nexpose y la verdad es que no sabia como hacerlo. Bueno, si que se que es un certificado digital y podía suponer que necesitaba un CSR (Certificate Signing Resquest) para parearlo, pero no tenia ni idea de como aplicarlo al webserver de la herramienta. Así que, aunque esté un poco desactualizada (por la versión del Nexpose) esta Slides son una buena gua para aplicar un certificado confiable a Nexpose. 

Enlace:

• http://es.slideshare.net/wajraj/nexpose-certificate-addition-manual-44123030

Sed Buenos ;) 

RSA Certificaciones y Training

Hace mucho que me comentaron que desde la pagina de RSA también se podía acceder a diversos cursos online pero nunca me había puesto a ello hasta esta tarde. La verdad es que si bien podemos obtener unos cuantos cursos gratis muchos de ellos son de  introducción y los mas específicos serán de pago.

Esto es normal y mas siendo RSA una empresa tan importante en el sector como la que es, por eso los cursos mas específicos se pueden ir a los 5.000$ pero como os he dicho RSA nos da algunos cursos básicos que para los iniciados como yo la verdad es que están muy bien. 

Para todos los que querais curiosear los cursos os dejo el enlace aquí abajo:

•  https://education.emc.com/guest/training/RSA/ 

Sed Buenos ;) 

Stamphoto.- Certifica Tus Fotografías En Android.

Las nuevas tecnologías han llegado no solo para distraernos en el metro o tren de camino al trabajo, tambien pueden ayudarnos ha hacernos la vida mucho mas facil y, aunque la ley este obsoleta y anticuada,  porqué no también ayudarnos en términos legales. 

¿Nunca os habéis planteado por que una fotografía, un imprimir pantalla o un mail no son considerados como prueba o cuenta mucho demostrar que lo son? Esto es justamente porque no podemos demostrar el momento en el que fue tomada y siempre se podrán esgrimir argumentos en contra alegando que una posible falsificación. ¿Pero que pasaría si pudiéramos hacer un imprimir pantalla y que una empresa nos certificara la prueba? Seria totalmente valido como prueba. En el ámbito de los equipo de trabajo mas grandes como un PC o un Laptop ya existe [eGarante] y me ha hecho mucha gracia descubrir que existe [Stamphoto] una app para la certificar fotografías hechas a través de un smartphone Android.  

La app ha sido desarrollada por el equipo de [Lleida.net] y estara gratis, solo hasta el final del Mobile World Congress ...

Fuente: 

• http://www.xatakandroid.com/foto-y-video/stamphoto-para-android-te-permite-certificar-una-fotografia-con-validez-legal

Sed Buenos y descargaros esta app que os puede venir muy bien ;)