¿CÓMO ADAPTAR LOPD CON POLÍTICAS DE PROTECCIÓN DE DATOS POR SEGURIDAD DE DATOS PERSONALES?

Hay un aumento de ciudadanos que han sido víctimas de robos de identidad y uso no autorizados de tarjetas de crédito por culpa de empresas que manejan datos irresponsablemente. Según estudios de las empresas de protección de datos personales en países como México, Brasil, Estados Unidos, Colombia, Argentina, India la protección de datos personales es una preocupación primordial de los ciudadanos por lo que omitir cumplir con ese marco normativo puede ser un impedimento y puede causar la pérdida de las oportunidades de negocio. 

Los datos personales representan a toda aquella información de una persona que afirma su identificación. Los datos personales incluyen el lugar de nacimiento, lugar de residencia, trayectoria académica, laboral, o profesional, estado civil, edad, estado de salud, vida sexual, características físicas, ideología política y otros aspectos. Los datos personales ayudan una persona para que pueda interactuar con empresas y/o entidades por sus servicios. Este intercambio causa el crecimiento económico y el mejoramiento de bienes y servicios.

Por resolver ese problema la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) fue aprobada hace unos años con el motivo de proteger a los ciudadanos de malos usos y abusos de datos personales que se llevan a cabo día a día por empresas y/o entidades sin políticas de protección de datos personales en países como México, Argentina, India y otros. La ley de protección de datos personales reconoce y protege el derecho que tienen todas las personas a acceder, actualizar y rectificar los datos personales que se hayan recogido sobre ellas así como a la oposición a su tratamiento por entidades de naturaleza pública o privada. Los datos personales que tengan por finalidad de la seguridad, defensa nacional, información de inteligencia y de los censos de población – vivienda no son considerados parte de ley de seguridad de datos personales.

Según empresas de protección de datos personales ahorita todas las entidades que manejen datos personales serán obligadas a considerar el derecho de la privacidad y se tendrán que adaptar a normativas que garanticen el tratamiento y seguridad de datos personales. La ley de protección de datos personales también otorga el derecho a los ciudadanos de pedir todos los datos personal que una empresa tenga de él. Englobando la necesidad de la implementación de políticas de protección de datos personales para la cancelación y eliminación de datos personales. Empresas y/o entidades que no cumplan con esta ley se enfrentarán a multas.

Hay muchas ventajas de adaptación a ley orgánica de protección de datos personales. Por ejemplo la ley de protección de datos personales de Europa aprueba la transferencia de datos personales de los ciudadanos hacia terceros países que brinden un nivel de protección adecuado a dicha información, reflexionando la naturaleza de los datos, la finalidad, duración del tratamiento y las normas de seguridad. Si un país adapta con dicha regulación de seguridad de datos personales, hay posibilidades de incrementos exponenciales en la inversión extranjera.

ADAPTACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

Empresas y/o entidades deberán cumplir la obligación normativa para adaptación LOPD (Ley orgánica de Protección de Datos). Según los consultores de empresa de protección de datos personales, el cumplimiento de las obligaciones legales en materia de protección de datos es indispensable. Las agencias de protección de datos cuentan con grandes equipos de inspectores que hacen auditoria de las políticas de protección de datos personales y se aplican multas junto con las sanciones, mediante denuncia de cualquier afectado. Puntos a tener en cuenta durante adaptación a la ley de protección de datos personales:

• Los sistemas de datos personales en posesión de empresas y/o entidades deberán registrarse con la agencia de protección de datos. El registro debe presentar la información como nombre y cargo del responsable, propósito del sistema, naturaleza de los datos personales, proceso de adquirir, proceso de actualización de los datos, forma de interrelacionar los datos, duración de conservación de los datos, soluciones de seguridad de datos personales implementadas. 

• Cuando las empresas y/o entidades consigan los datos personales deberán avisar previamente a los interesados de la existencia de un sistema de datos personales, proceso del tratamiento, la finalidad de los datos, los destinatarios, los derechos de acceso, rectificación, cancelación y oposición (ARCO). 

• Las empresas y/o entidades designarán al responsable de los sistemas de datos personales.

• Cumplir con las políticas de protección de datos personales y reglamentos así como las normas aplicables para los servicios de protección de datos personales. 

• Manejar los datos personales exclusivamente cuando éstos guarden relación con el propósito para la cual se hayan conseguidos.

• Adoptar las soluciones de protección de datos adecuadas para manejar las solicitudes de acceso, rectificación, cancelación y oposición de datos personales; debiendo capacitar a los servidores públicos con curso de protección de datos personales.

• Adaptación de las medidas de seguridad para la protección de datos personales o tomar servicios de seguridad de datos personales y comunicarlas a la agencia de protección de datos.

• Modificar los datos personales cuando haya lugar, debiendo corregir o completar de oficio aquellos que fueren erróneos o parciales, siempre y cuando se cuente con el documento de seguridad que acredite la actualización de dichos datos.

• El cliente tiene el derecho para solicitar la rectificación o cancelación de los datos personales que le corresponden.

• Coordinar y supervisar la adopción de las soluciones de protección de datos por consultaría de protección de datos o empresa de adaptación LOPD acuerdo con las políticas de protección de datos personales vigentes.

• Implementar los criterios específicos sobre el manejo, mantenimiento de la solución de datos personales.

• Construir un plan de cursos de protección de datos personales. Todos los oficiales de departamento de protección de datos deben tomar curso de protección de datos personales.

• Llevar a cabo o regularizar la ejecución de las diferentes operaciones y modos en que consista el tratamiento de datos y sistemas de datos de carácter personal implementados por servicios de seguridad de datos personales. 

• Informar al interesado al momento de conseguir sus datos personales, sobre los sistemas de datos personales y las soluciones de seguridad de datos personales implementadas por empresas de protección de datos personales y adaptación LOPD.

LAS MEDIDAS DE SEGURIDAD

Según los consultores de empresa de protección de datos personales las empresas y/o entidades deben establecer las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integralidad de datos personales que posean, con el propósito de preservar los derechos tutelados, frente a su modificación, pérdida, transmisión y acceso no autorizado. Las medidas de seguridad de datos deben ser adoptadas en relación con el mayor grado de protección que ameriten los datos personales. Las medidas de seguridad adoptadas deben conforme a los diferentes tipos de seguridad:

Seguridad Física: Eso incluye la protección de instalaciones, equipos para la prevención de casos accidentales o casos de fuerza mayor.

Seguridad Lógica: Eso incluye las medidas de identificación y autentificación de las personas o usuarios autorizados para el acceso y modificación de los datos personales.

Aplicaciones: Pertenece a las permisiones con las que deberá contar la creación o tratamiento de sistemas de datos personales, para garantizar el uso adecuado de los datos, previendo la participación de usuarios no autorizados, la separación de entornos y pruebas de controles de seguridad.

Encriptación: Eso incluye uso e implementación de algoritmos de cifrado, claves, contraseñas, así como medidas concretas de protección que garanticen la integralidad y confidencialidad de los datos sensibles.

Comunicaciones de redes: Se refiere uso de soluciones de protección de datos como un sistema que monitoriza la red de comunicaciones en busca de actividad no permitida o brecha de seguridad, así como para el manejo de telecomunicaciones.

Acuerdo con los expertos de servicios de seguridad de datos personales, siguientes son los controles de seguridad cuya aplicación es obligatoria para todos los sistemas de datos personales para asegurar cumplimento de ley de protección de datos personales :

• Implementación de documento de seguridad.

• Mantener documentación de funciones y obligaciones del personal responsable en el tratamiento de datos personales.

• Registro de acceso e incidencias.

• Sistema de identificación y autentificación.

• Gestión de soporte, acceso físico y lógico.

• Sistema de copias de respaldo y recuperación.

• Administrar políticas de auditoría.

• Pruebas de penetración y vulnerabilidades.

• Distribución de soporte.

• Registro de Telecomunicaciones.

Las medidas de seguridad de datos mencionadas constituyen mínimos exigibles, por lo que las empresas y/o entidades adoptarán las medidas adicionales que estime inevitables para ofrecer mayores garantías en la protección y resguardo de los sistemas de datos personales. Las empresas y/o entidades deben tomar ayuda de consultoría o empresa de protección de datos personales para implementar los servicios de seguridad de datos personales.

Para que su empresa esté cubierto en materia de la ley de protección de datos, pueden tomar ayuda de empresas como Instituto Internacional de Seguridad Cibernética que ofrecen las herramientas a través de los servicios de protección de datos personales y curso de protección de datos personales que le permitirá realizar la adaptación LOPD de su negocio y mantenerlo actualizada en todo momento según requerimientos de la normativa vigente. Los servicios de seguridad de datos personales y adaptación a la LOPD ayudan clientes con:

• Durante la adaptación a la LOPD hacen análisis de la empresa y los procesos de tratamiento de datos personales. Obtienen información detallada sobre la empresa, los archivos de datos de carácter personal, procedimientos establecidos, flujos de la información y el grado de cumplimiento de la reglamento.

• Coordinan análisis de los sistemas de datos personales junto con desarrollo de procedimientos y documentación exigible a la norma como parte de los servicios de protección de datos personales. 

• Con el curso de protección de datos personales enseñan el desarrollo de la cobertura legal de la empresa y capacitando las buenas prácticas de seguridad informática a los usuarios del sistema de información.

• Proporcionan los servicios de auditoría de protección de datos personales junto con la entrega del documento de seguridad, servicio de evaluación de las medidas de seguridad implantadas y certificación LOPD. Además enseñan cómo hacer todo eso durante la capacitación de protección de datos personales.

El curso de protección de datos personales está dirigido a directores, encargados de departamento legal, profesionales de departamento de TI y todas las personas que deseen conocer los requisitos de la Ley Federal de Protección de Datos Personales en Posesión de Particulares. El curso de protección de datos personales está muy práctico y cubre los siguientes temas:

• Introducción a LFPDPPP.

• Ambiente de adaptación LOPD.

• Tipo de datos personales y los derechos de acceso, rectificación, cancelación y oposición (ARCO).

• Foros y agencias de Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

• Análisis detallado de los flujos de datos.

• Auditoria de procedimientos y arquitectura empresarial. 

• Implementación de documento de seguridad, medidas y servicios de seguridad de datos personales.

• Implementación con una metodología definida con la experiencia y recomendada por las normas internacionales.

• Manejo de incidentes de brecha de datos personales, sanciones y denuncia por parte de los interesados.

Read More

HOW TO IMPLEMENT ENTERPRISE DATA PROTECTION SERVICES AND SOLUTIONS?

There is an increase in people who have been victims of identity theft and unauthorized use of credit cards because of many companies that handle data irresponsibly. According to many studies done by a personal data protection company in countries such as Mexico, Brazil, United States, Colombia, Argentina, India, the personal data protection & privacy is a primary concern of the people, thus failure to comply with the regulatory framework can be an obstacle and can cause loss of business opportunities.
The personal data represents all the information of a person which affirms his/her identification. Personal data includes place of birth, place of residence, academic, employment, professional career, marital status, age, health, sex life, physical characteristics, political ideology, and other aspects. The personal data can help a person to interact with business and/or organizations for their services. This exchange of information causes economic growth and improvement of services.
To resolve this problem privacy & personal data protection law was adopted in countries such as Mexico, Argentina, India and others some years ago with the purpose of protecting citizens from personal data misuses and abuses that happen every day by companies and/or organizations. The personal data protection law recognizes and protects the rights that people have to access, update and correct their personal data that has been collected as well as the right to oppose personal data processing by public or private entities. The personal data that’s involved in national security, national defense, intelligence and population censuses – housing information are not considered part of personal data protection law.
According to a personal data protection company, now all entities that handle personal data will be forced to consider the right to privacy and will need to adapt to regulations which will ensure safe treatment of personal data. The privacy & personal data protection act also gives people the right to request for all their personal data that a company has. Thus generating the need to implement personal data protection solutions, policies for cancellation and removal of personal data. Companies and/or organizations that do not comply with this law will face sanctions & fines.
There are many advantages of implementing personal data protection solutions. For instance the European privacy & personal data protection law approves the transfer of personal data of European citizens to a third country that has an adequate level of data protection system established for such information, depending upon the nature of the data, the purpose, duration of processing and safety standards. If a country adapts to the international privacy & personal data protection regulations, there are possibilities of exponential increase in foreign investments in that country.

IMPLEMENTING PRIVACY & PERSONAL DATA PROTECTION LAW

Companies and/or organizations must comply with the statutory obligation of implementing personal data protection system. According to various enterprise data protection services consultants, compliance with legal obligations in the field of data protection is essential. Data protection agencies have big teams of inspectors to make an audit of personal data protection system and apply fines along with sanctions, through a complaint of any affected person. Points to consider while implementing privacy & personal data protection law:

• All the personal data processing systems belonging to companies and/or organizations must be registered with the data protection agency. The registration must submit information such as name and title of the person responsible, purpose of the system, the type of the personal data processed, process of acquiring, process of updating data, methods of interrelating data, duration of holding data and personal data security solutions implemented. 
• When the companies and/or organizations get personal data, all the interested parties must be advised prior about the existence of a personal data protection system, data treatment process, the purpose of collecting data, the recipients of data, the rights of access, rectification, cancellation and opposition to data processing.
• Companies and/or organizations will designate a person responsible for personal data processing systems.
• Comply with the personal data protection policies and regulations as well as standards for enterprise personal data protection services. 
• Process personal data only when they relate to the purpose for which they were collected.
• Implement appropriate enterprise data protection solutions to manage all the requests for access, rectification, cancellation of personal data; also enterprises must provide data protection training course to all public servants.
• Implement security measures for via enterprise data protection services and inform about the changes to the data protection agency.
• Modify personal data when appropriate, correcting the incorrect data and completing the partial data. All these changes must be logged in a security document. 
• The client has the right to request the correction or deletion of his personal data.
• Coordinate and review the implementation of data protection solutions by enterprise data protection company and make sure it’s done as per the data protection norms.
• Implement specific set of policies for the management and maintenance of the personal data processing system.
• Develop a personal data protection training course plan. All the professionals of data protection department must take data protection training.
• Conduct or regularize the execution of the operations of data processing systems implemented by any personal data protection company.
• Inform the client when obtaining their personal data about personal data processing systems and data protection solutions implemented by personal data protection companies.

SECURITY MEASURES FOR DATA PROTECTION

As per experts from personal data protection company, businesses and/or organizations should establish technical and organizational security measures to ensure the confidentiality and integrity of personal data with the objective of preserving the data protection rights, against modification, loss, transmission and unauthorized access. All the data security measures should be implemented with respect to the highest degree of protection of personal data. The security measures should be according to following types of security:

Physical Security: This includes the protection of facilities, equipment to prevent accidental incidents cases or force majeure.
Logical Security: This includes measures for identification and authentication of people or users authorized to access and modify personal data.
Applications: It represent the permissions which personal data processing system should manage, to ensure proper use of data, preventing the participation of non-authorized users, separation of environments and penetration testing controls.
Encryption: This includes implementation and use of encryption algorithms, keys, passwords, and specific protection measures to ensure the integrity and confidentiality of the sensitive personal data.
Network Communications: This refers use of enterprise data protection services that includes use of network monitoring system that constantly monitors network communications and blocks any kind of suspicious activity or security breach.

According to experts from enterprise data protection company, following are the security checks which are mandatory for all personal data processing system to ensure compliance with the privacy & personal data protection law:

• Implementation of the security policies.
• Maintaining documentation of roles and responsibilities of personnel responsible for the processing of personal data.
• Access and incidents logging.
• Identification and authentication system.
• Support management, physical and logical access.
• System backup and recovery.
• Manage audit policies.
• Vulnerability and penetration testing.
• Support Distribution.
• Telecommunications Records.

The data security measures mentioned above constitute minimum requirements, so the companies and/or organizations should take additional inevitable measures to provide greater protection of personal data. Companies and/or organizations should take help of personal data protection company or personal data protection service consultants to implement personal data protection services & solutions.
To make sure that your company is covered with regards to privacy & data protection law, organizations like International Institute for cyber security offers tools through enterprise data protection services and personal data protection training course, which will allow you to implement data protection law and keep your business updated at all times according to requirements of the legislation. The enterprise data protection services and personal data protection solutions help customers with:

• During the implementation of privacy & data protection law they do detailed analysis of the company’s processes for management and processing of personal data. They get detailed information about the company, the personal data files, established procedures, flow of information and the degree of compliance with the regulation.
• They coordinate analysis of personal data processing systems along with development of procedures and documentation required according to the standards, as a part of our enterprise data protection services.
• In the personal data protection training they teach the development of data protection policies and best information security practices for general and technical users.
• During our personal data protection audit services they delivery data protection policies document, evaluation of the security measures implemented and data protection law certification. In addition they teach how to do all this during our personal data protection training, so that you can be an enterprise data protection services expert.

The personal data protection course is aimed at managers, legal and IT department professionals and all the people who wish to understand the privacy & data protection law. The personal data protection training is very practical course and covers the following topics:

• Introduction to data protection & privacy law.
• Implementation of environment for data protection & privacy law.
• Types of personal data and rights of access, rectification, cancellation and opposition.
• Data protection agencies and regulations.
• Detailed dataflow analysis.
• Enterprise architecture and audit procedures.
• Implementation of data protection solutions and enterprise data protection services with a methodology defined by our experience and recommended by international standards.
• Incident management procedures for handling personal data breach, sanctions and privacy complaints.

Read More

Aprender nuevo lenguaje de seguridad informática: HAKA

Haka es un lenguaje de seguridad orientado a código abierto que permite especificar y aplicar las políticas de seguridad Informática en el tráfico capturado en vivo. HAKA se basa en Lua y es un lenguaje sencillo, ligero y rápido. El alcance de Haka es doble explican consultores de empresa de seguridad informática y hacking ético. En primer lugar, permite la especificación de las normas de seguridad para filtrar flujos no deseados y reportar actividades maliciosas. Haka proporciona un API simple para la manipulación del tráfico corriente. Uno puede descartar paquetes o crear otros nuevos e inyectarlos. Haka también apoya la modificación de paquetes en la marcha. Esta es una de las principales características de Haka desde todas las tareas complejas tales como el cambio de tamaño de paquetes, ajuste correctamente de los números de secuencia. Esto se hace en vivo sin la necesidad de un proxy y se realiza todo de forma transparente para el usuario.

En segundo lugar, Haka permite la especificación de protocolos y estado subyacente de todo. Haka es compatible con ambos tipos de protocolos: protocolos basados en binario (por ejemplo, DNS) y protocolos basados en texto (por ejemplo, http). La especificación cubre los protocolos basados en paquetes, tales como IP, así como los protocolos basados en secuencias como http.

 Según consultores de empresa de seguridad informática y hacking ético, HAKA se encaja en un marco modular. Incluye varios módulos de captura de paquetes (pcap, nfqueue) que permiten a los usuarios finales a aplicar su política de seguridad informática en el tráfico capturado vivo. El marco proporciona el registro (syslog) y alerta de módulos (Syslog, Elasticsearch). Por último, el marco tiene módulos auxiliares, tales como un motor de búsqueda de patrones y un módulo de desensamblador de instrucciones. Estos módulos permiten escribir las reglas de seguridad informática de grano fino para detectar malware ofuscado. Haka fue diseñado de manera modular, permitiendo a los usuarios a ampliarlo con módulos adicionales.

Haka proporciona una colección de cuatro herramientas importantes para consultores de empresa de seguridad informática y hacking ético:

 

 haka. Es el programa principal de la colección. Está diseñado para ser utilizado como un daemon para controlar los paquetes en el fondo. Los paquetes son disecados y filtrados de acuerdo con el archivo de políticas de seguridad especificadas. Haka toma como entrada un archivo de configuración. Este archivo script se carga disectores de protocolo típicamente incorporados o definidos por el usuario y define un conjunto de reglas de seguridad.

hakactl. Esta herramienta permite controlar daemon. Uno puede obtener estadísticas en tiempo real en los paquetes capturados, inspeccionar los registros o simplemente apagar/reiniciar el daemon.

hakapcap. Esta herramienta permite reproducir un archivo de política en una captura de paquetes utilizando el módulo pcap. Por ejemplo, esto es útil para realizar análisis forense y hacking ético de la red.

hakabana. Esta herramienta permite la visualización y monitoreo de tráfico de red en tiempo real utilizando Kibana y Elasticsearch según expertos de empresa de seguridad informática. Hakabana consiste en un conjunto de reglas de seguridad que lleva información sobre el tráfico que pasa a través de Haka en un servidor de elastisserach y muestra a través de una consola Kibana. Un panel adicional también está disponible para visualizar alertas de Haka.

Vamos a cubrir eso en próximo artículo más sobre Haka con ayuda de unos expertos de hacking ético. 

Read More

Hacking and exploiting Active Directory Permissions

PowerView is a PowerShell tool to achieve network information on Windows domains for cyber security services and ethical hacking training professionals. It implements diverse practical meta-functions, including some user-hunting functions which will discover where in the network explicit users are logged in. It can also find which machines in the domain network the user has local administrator access. It also includes a number of functions for the enumeration and abuse of domain trusts. You can easily find function descriptions for suitable usage and accessible options mentions ethical hacking training professor.

It also includes a set of PowerShell replacements for diverse windows "net *" commands, which employ PowerShell AD hooks and essential Win32 API functions to execute useful Windows domain functionality as per cyber security services researchers. To run on a machine, start PowerShell with "powershell -exec bypass" and then load the PowerView component with: PS> Import-Module .\powerview.psm1 or load the PowerView script by itself: PS> Import-Module .\powerview.ps1

For comprehensive output of original functionality, add the -Debug flag to the functions. For functions that enumerate several machines, add the -Verbose flag to obtain a progress status as each host is enumerated. Most of the "meta" functions acknowledge an array of hosts.

How to use PowerView to exploit Active directory

AdminSDHolder is a unique Active Directory object positioned at “CN=AdminSDHolder,CN=System,DC=domain,DC=com“. The declared intention of this object is to protect certain privileged accounts from unintentional alteration.  Every one hour, a unique process called SDProp recursively enumerates association for a specific set of protected groups, revises the access control lists for all accounts found, and clones the ACLs of the AdminSDHolder object to any protected objects with a different ACL mentions ethical hacking training professor. If we alter the permissions of AdminSDHolder, that permission template will be removed from all protected accounts automatically by SDProp. So we can add an unprivileged user even with no group membership to the ACL of AdminSDHolder, and have a backdoor mechanism implemented that allow us to alter the membership of groups like Domain and network admin.

Any account/group which is or was a part of a protected group has their AdminCount property set to 1, even if the object is not any more in that protected group. With PowerView, we can effortlessly enumerate all users and groups with AdminCount=1 with Get-UserUser -AdminCount and Get-NetGroup -AdminCount, respectively. Thus it lets us speedily find all high value accounts, even if those accounts are not a part of a protected group. With Invoke-UserHunter we can use AdminCount flag, to effortlessly hunt for all high valued users in the domain.

Active Directory access rights are a somewhat unexplored area from an offensive cyber security perspective. Network admins should start auditing and monitoring the access rights of all privileged domain objects, particularly the domain root and AdminSDHolder. You can this manually, through PowerView’s Get-ObjectACL, or through help of cyber security services and ethical hacking training professionals.

Read More

Hacking y explotación de permisos de Active Directory

PowerView es una herramienta de PowerShell para obtener información situacional de la red en dominios de Windows para profesionales de hacking ético y servicios de auditoría de seguridad informática. Contiene un conjunto de comandos PowerShell para varios "net *" comandos de windows, los cuales utilizan ganchos de PowerShell AD y las funciones de API de Win32 para llevar a cabo la útil funcionalidad de dominio de Windows explica expertos de servicios de seguridad informática.

Según los profesionales de hacking ético e investigadores de servicios de auditoría de seguridad informática PowerView implementa varios metafunciones útiles, incluyendo algunas funciones por cazar usuarios que se identifican donde los usuarios específicos se registran en la red. También puede comprobar cuál de las máquinas en el dominio tiene acceso de administrador local. Además existen varias funciones para la enumeración y el abuso de confianzas de dominio. Podemos ver descripciones de las funciones para el uso apropiado y las opciones disponibles en la herramienta.

Para ejecutar en una máquina, iniciar PowerShell con " by-pass -exec powershell " y luego cargar el módulo PowerView con: PS > Import-Module.\powerview.psm1 o carga el script PowerView por sí mismo: PS> Import-Module.\powerview.ps1

Para el resultado detallado de la funcionalidad, pase la bandera -Debug a la mayoría de las funciones. Para funciones que enumeran varias máquinas, pase la bandera -Verbose para obtener un estado de avance que cada host se enumera. La mayoría de las funciones de "meta" acepta un conjunto de hosts acuerdo con profesor de hacking ético y auditoría de seguridad informática.

Cómo utilizar PowerView para explotar Active directory

AdminSDHolder es un objeto de Active Directory especial situado en el "CN = AdminSDHolder, CN = System, DC = domain, DC = com". El propósito de este objeto es proteger ciertas cuentas privilegiadas de modificaciones accidentales. Cada 60 minutos, un proceso especial denominado SDProp recurrentemente enumera la pertenencia de un conjunto de grupos protegidos, comprueba las listas de control de acceso para todas las cuentas descubiertas, y clona las ACL del objeto AdminSDHolder a cualquier objeto protegido con ACL diferente acuerdo con profesor de hacking ético.

Cualquier cuenta o grupo que es (o era) parte de un grupo protegido tiene su característica  AdminCount a 1, incluso si el objeto se mueve fuera de ese grupo protegido. Con PowerView, usted puede fácilmente enumerar todos los usuarios y grupos con AdminCount = 1 con Get-User-AdminCount y Get-NetGroup - AdminCount, respectivamente. Esto le permite encontrar rápidamente todas las cuentas de alto valor, incluso si ha mudado fuera de un grupo protegido. Invoke UserHunter también acepta una bandera - AdminCount, permitiéndole cazar fácilmente a todos los usuarios valorados alto en el dominio.

Si modifica los permisos AdminSDHolder, esa plantilla de permiso será empujada a todas las cuentas protegidas automáticamente por SDProp explica experto de servicios de seguridad informática. Así que usted puede añadir un usuario sin privilegios (incluso sin la pertenencia al grupo) a la ACL de AdminSDHolder y tienen un mecanismo de puerta trasera que permite modificar la pertenencia a grupos como dominio y administradores de la red.

Los accesos de Active Directory es un área relativamente inexplorada de desde una perspectiva ofensiva. Los defensores deben comenzar auditoría y monitoreo de los derechos de los objetos de dominio privilegiado específico, sobre todo la raíz del dominio y AdminSDHolder. Esto se puede hacer de forma manual o  a través de PowerView Get-ObjectACL  o tomar ayuda de expertos de servicios de seguridad informática.

Read More

EL DF, FOCO DE CIBERATAQUES

La capital y el Edomex reúnen 53% de estos delitos. Quienes los cometen apuntan principalmente a operaciones comerciales.

Una persona decide comprar algo por internet. Días después, se da cuenta de que la tarjeta de crédito con la que pagó fue usada sin su consentimiento para otras operaciones. En resumen: se ha convertido en víctima de un ataque cibernético.

El Instituto Internacional de Seguridad Cibernética (IICybersecurity) define los ciberataques como aquellas acciones que buscan desestabilizar los dispositivos o sistemas conectados a la red. La diferencia con el ciberterrorismo es que este último se enfoca en atacar los sistemas vinculados con la infraestructura y los servicios críticos para una nación: comunicaciones, defensa nacional, energía eléctrica, suministro de agua, transporte, etcétera.

David Thomas, gerente del organismo en México, señala que en lo que va del año en el país se han registrado más de 11 millones de ataques cibernéticos. De ellos, 53% se concentra en el Distrito Federal y el Estado de México.

Para el experto, algunas razones por las que ambas entidades encabezan la lista son que en las dos hay más de 120 mil empresas que manejan datos personales y confidenciales, lo que las hace un blanco atractivo para los hackers, y que en la capital están asentadas tanto oficinas del gobierno local como sedes de los poderes federales.

Otros motivos, según explica Thomas, son que en la Ciudad de México hay más dispositivos móviles y equipos conectados a internet que en otras localidades del país, y que cada año más de 13 millones de turistas llegan a territorio capitalino.

“Los viajeros usan, en gran medida, tarjetas de crédito, y éstas resultan un blanco ideal para los hackers, quienes emplean ataques de malware POS [en puntos de venta] para robar datos bancarios”, dice.

Seguridad rezagada

Según el Índice mundial de ciberseguridad y perfiles de ciberbienestar, publicado en abril de 2015 por la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), México está rezagado en seguridad cibernética, lo que representa una amenaza para el resguardo de la información en comparación con otros países.

Los datos de 2014 colocaron a México en el lugar 18 de 29 en el listado de la ITU, que evaluó un total de 100 países, muchos de los cuales empataron en las mismas posiciones. Lo anterior significa que México está debajo de naciones de América Latina como Costa Rica, Ecuador, Brasil y Uruguay.

Por otra parte, de acuerdo con el IICybersecurity, México es el segundo país con mayor número de ataques cibernéticos en la región, sólo después de Brasil.

En 2015, los ataques cibernéticos a nivel nacional crecieron 63% respecto de 2014, detalla Thomas. El ataque denegación de usuario (DDoS), el malware POS, la publicidad con malware, el fraude electrónico comercial, el robo de identidades y la extorsión con ransomware han sido las formas más usuales de ataques cibernéticos.

Juan Carlos Montesinos, director de la Unidad de Ciberdelincuencia de la SSPDF, explica que la policía capitalina da orientación a los ciudadanos afectados y que quien investiga estos delitos es la Policía Federal.

Víctimas de los hackers

Los principales segmentos afectados por ciberataques en la Ciudad de México durante este año han sido las empresas privadas, las instituciones de gobierno y las organizaciones académicas, de acuerdo con el IICybersecurity.

Del total de ataques registrados este año, 45% estuvo dirigido a empresas privadas (bancos y hoteles, por ejemplo) y 35% a distintas dependencias de gobierno. El resto corresponde a la academia y a particulares.

Algunos expertos, sin embargo, sostienen que la mayoría de las transacciones que se realizan en línea es segura.

Las principales barreras para combatir los ataques cibernéticos, señala Thomas, “son falta de soluciones de seguridad informática, la carencia de una legislación adecuada y la falta de conciencia entre la población general sobre seguridad cibernética”. Para evitar ataques cibernéticos, las agencias de gobierno y empresas privadas deben trabajar en conjunto para llevar a una mejor colaboración y comunicación.

A pesar de lo anterior, comparada con otras naciones, la cifra de ataques cibernéticos en México aún es muy baja. EU recibe la mayor cantidad de ciberataques en el mundo, con un millón de incidentes diarios y la ciudad más bombardeada del planeta: Florida.

Para Thomas, en México es importante promover la cultura de la prevención y la denuncia ciudadana. Además, “el gobierno debe trabajar para desarrollar capacidades técnicas e investigativas integradas avanzadas, con una legislación estricta en el ámbito de seguridad cibernética, para utilizar plenamente tales capacidades”.

Ideas para legislar en la materia

Durante la actual Legislatura del Congreso, que inició el 1 de septiembre, legisladores han presentado dos iniciativas en este tema. Una de ellas fue la planteada por la diputada María Eugenia Ocampo Bedolla, del Partido Nueva Alianza. Dicho proyecto busca modificar el Código Penal Federal y aún está pendiente de análisis. La otra iniciativa fue la impulsada por el senador priista Omar Fayad, quien la retiró de comisiones tras la polémica que generó. Los opositores de la propuesta la tacharon como un intento por censurar contenidos en la red.

 Fuente: http://www.maspormas.com/2015/11/12/el-df-foco-de-ciberataques/

Read More