martes, 24 de diciembre de 2013

Resumen al panorama de la seguridad en 2013

Compartir este artículo:
Hoy, día 24 de Diciembre de 2013, queremos felicitaros las fiestas y hablar un poco del mundo de la seguridad en el año 2013. Estamos llegando al final del año y queremos dejaros un buen sabor de boca con todo lo que el mundo de la seguridad ha visto este año. Seguro que nos dejamos noticias interesantes o impactantes, esperamos que las añadáis en los comentarios. Comienza el resumen de Flu Project al 2013.

Sin lugar a la duda, la noticia que más nos ha impactado este año fue la revelación de espionaje por parte de la NSA. En el blog de El lado del mal nos explicaban que era todo eso de PRISM, el acta de patriotismo de USA y todo lo relacionado con la NSA. En esta tónica de noticias aparecieron gran cantidad de situaciones relacionadas con el ciberespionaje de la NSA, como por ejemplo el caso de las embajadas espiadas en la Unión Europea, o el sistema X-Keyscore, sistema de data mining de la NSA. La NSA aceptó los hechos, pero como curiosidad nos queda que dijeran que solo del 1% al 4% del tráfico de Internet había sido intervenido por ellos, mientras que algunos analistas hablan del 96% del tráfico de Internet. Sin duda, ha sido la noticia del año en el ámbito de seguridad mundial, y por ello os recomiendo que leáis mucho sobre ello si tenéis tiempo estas navidades, el ciberespionaje existe y es una realidad. Quizá los países más fuertes son los que antes han llegado a la barrera del ciberespacio y a la inteligencia digital, pero si de algo estoy seguro, es que las guerras en el mundo cada vez serán más digitales y menos físicas, ¿Estaremos entrando en la guerra digital? ¿Llevamos años en guerra?

Para relajarnos un poco hablaremos de uno de los posts que seguro más lectores tuvo en Security by default, habló del post de cómo ganar siempre a mezcladitos. En este post, Lorenzo Martínez, nos explicaba como modificando las peticiones se podía conseguir que la víctima perdiera turno o reasignara partida. Así que cuidado con quién jugáis a mezcladitos, si no queréis acabar desesperados perdiendo continuamente.

Otra de las cosas interesantes, lógicamente desde nuestro punto de vista, es la publicación de una vulnerabilidad encontrada en Zabbix. La vulnerabilidad permitía elevar, de cierta manera, los privilegios en un dominio Microsoft. El movimiento lateral estaba asegurado, mientras que el vertical en un alto porcentaje de posibilidades.

Uno de los nuevos servicios de Eleven Paths, denominado FaasT, el cual conozco muy bien, empezaba a colear allá por Julio como se puede visualizar en este artículo que tuve el placer de publicar en el blog corporativo. FaasT empezaba a andar representando las técnicas de un pentester. Por otro lado, nosotros nos encargamos de hablar del pentesting by design en Flu Project, para que estéis al tanto de esta nueva metodología tan proactiva e interesante.

Para los amantes del exploiting desde Security Art Work os traemos este post, el cual me pareció interesante, sobre todo por la explicación detallada y sencilla que los chicos de Security Art Work siempre aportan. Este año de este blog me quedo con la resolución al ejercicio Heap 03 de Exploit-Exercises. Como aporte extra decir que este blog siempre ha tenido mi atención por el nivel técnico y de presentación que siempre aportan a su contenido, totalmente recomendado. Para los que queráis empezar en el mundo del exploiting, os recomiendo este libro: Linux Exploiting. Técnicas de explotación de vulnerabilidades en Linux para la creación de exploits.

No me puedo olvidar de HackPlayers, encabezado por Vicente, siempre proporcionándonos horas y horas de lecturas interesantes y prácticas. Uno de los artículos que más me gustó este año fue el de como evadir un portal cautivo mediante un túnel DNS, escrito por Vicente. Flu Project siempre ha tenido una gran relación con este blog, incluso conociéndonos en la antigua, y mi querida, Informática 64, un viernes por la tarde ;)

Otro blog del que no me puedo olvidar en este resumen breve, pero intenso de la seguridad, es de pentester.es, el blog de José Selvi. Tuve la suerte de coincidir con José en León, en el ENISE 7, y fue un honor y un placer para mí compartir mesa redonda con él. Cada entrada que sale es una fuente de conocimiento, y por ello, ha sido complejo elegir una, por lo que me quedaré con dos, por un lado por ser una herramienta que he utilizado bastante, me quedo con el estudio del nuevo meterpreter para Android. Por otro lado, me quedo con la serie de SQL Injection hasta la cocina – Oracle.

También quiero recordar los 7 años de DaboBlog, que ahora mismo está a unos días de los 8 años. Tuve el placer de desvirtualizar a Dabo en el ENISE 7, también tuve la suerte de coincidir con él en la mesa redonda, y es una persona que no defrauda a nadie, un tio sincero, que va de frente y eso siempre es de premiar. Dabo, gracias por acercarme al tren, aunque eso hiciera que casi no lo cogiera a tiempo ;) Y que sean muchos más años de DaboBlog!

El nacimiento de HighSec, un espacio llevado por Roberto y Eduardo, el cual me ha tocado de cerca. Una comunidad muy interesante, la cual parece tener vida para años y años, supongo que tomará el testigo de otros muchos que han ido aportando su granito al mundo de la seguridad informática en España. De ellos me quiero quedar las ganas e iniciativas para comerse el mundo, ánimo!

En lo que a libros se refiere no me quiero olvidar de mi gran amigo, el ninja más famoso del ámbito mundial en seguridad, Metasploit para Pentesters, el cual se encuentra en segunda edición (me pilló muy por sorpresa, grata sorpresa). Aunque, uno que también me ilusiona mucho, y creo que será un imprescindible para la gente en 2014, es el reciente libro de la FOCA y la liberación de la FOCA Final Version por parte de 11Paths.

En Flu Project ha sido nuestro tercer año y nos vamos haciendo mayores, pero creo que aún hay cuerda, y nos gustaría dejaros algunas noticias interesantes que hemos tenido este año publicadas por nosotros:
Por último, y ya que soy parte de Eleven Paths, deciros que Latch será uno de los productos del 2014. Será imprescindible para cualquier usuario y con la que lograremos acercar el mundo de la seguridad a cualquier usuario, sea cual sea su conocimiento. He aquí la magia de la informática y lo importante de ello, todo el mundo la usa y la necesita, nosotros tenemos que hacer que la informática sea lo más sencillo para todos, manteniendo la seguridad.

Sé que hay miles de noticias interesantes que nos dejamos, pero hoy hemos querido recordaros éstas. Recordad, estas navidades mucha familia, amigos, mucho vino, cuidado con la carne y sobretodo, recordad tapar la webcam o si no… poneros sexys!

No hay comentarios:

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...