La ciberseguridad es una disciplina cada vez más importante en la era digital. Se refiere al uso de tecnologías, prácticas y procedimientos para proteger sistemas, redes, programas y datos de ataques, accesos no autorizados, destrucción y otros abusos. En los últimos años, Latinoamérica ha sufrido un gran número de hackeos, lo que demuestra la necesidad de mejorar la seguridad en línea para prevenir futuros incidentes. En este artículo, profundizaremos en el tema de la ciberseguridad, explicaremos qué es y cómo mejorarla, así como algunas estadísticas interesantes sobre hackeos en Latinoamérica.
Cómo hackear un controlador de dominio en Azure durante una prueba de penetración
A lo largo de este post, se narrará una de las aventuras que tuvo un equipo de AppSec durante una prueba de penetración de una infraestructura localizada en Azure.
Azure es un servicio en la nube ofrecido por Microsoft, que pone a disposición del usuario diferentes servicios para gestionar y crear Máquinas Virtuales, App Services, Crear Cuentas de Almacenamiento, etc. Es ampliamente utilizado por muchas empresas que buscan obtener una infraestructura escalable basada en servidores windows.
Durante este post, se mostrará cómo fue posible obtener privilegios de Domain Admin sobre un Domain Controller alojado en Azure. La información adjunta (imágenes, comandos), corresponde a un caso real que, por motivos de privacidad, será censurado para salvaguardar la identidad de nuestro cliente.
Claves de Almacenamiento reveladas
Dentro del alcance acordado por el cliente, el equipo de evaluación encontró una vulnerabilidad de Full Source Disclosure en un servicio de aplicaciones. A través de esta vulnerabilidad, era posible acceder al archivo web . config que se encontraba en la siguiente ruta: “D:/home/site/wwwroot/web . config”
En la información encontrada en el archivo de configuración, el equipo de evaluación pudo obtener las credenciales de la cuenta de almacenamiento “app01disks”
Una Cuenta de Almacenamiento Azure, como su nombre indica, sirve para almacenar diferentes tipos de datos, entre los que se pueden encontrar, datos de tipo blobs, ficheros, colas, tablas, y discos. En ciertos casos una Cuenta de Almacenamiento puede ser utilizada para almacenar Discos Duros Virtuales pertenecientes a Máquinas Virtuales activas. Para tener una idea básica, una Cuenta de Almacenamiento es similar al servicio Amazon S3.
Utilizando las credenciales de la cuenta de almacenamiento, fue posible listar los contenedores dentro del almacenamiento. Para ello, se utilizó la herramienta Azure CLI.
Interacción con el Storage
Azure CLI es una herramienta de línea de comandos para administrar los Recursos de Azure. Esta herramienta permite al usuario interactuar con los servicios de Azure desde la consola de comandos, a través de esta es posible crear y gestionar Máquinas Virtuales, Cuentas de Almacenamiento, y los diferentes servicios que se pueden administrar desde Azure Portal.
Primero se procedió a listar los contenedores que estaban dentro de la cuenta de almacenamiento app01disks.
$ az storage container list --account-key DISCLOSED_KEY --account-name app01disks
Como puede verse en la imagen anterior, se ha encontrado un contenedor blob con el nombre “vhds”.
El siguiente paso fue listar los archivos blob que había dentro del contenedor.
$ az storage blob list --container-name vhds --account-key DISCLOSED_KEY --account-name app01disks
¿Qué es el Ethical Hacking o Pentesting?
El Ethical Hacking, también conocido como pentesting, o prueba de intrusión, es un servicio de ciberseguridad ofensiva que consiste en la ejecución de una prueba de penetración con el objetivo de simular un ciberataque real sobre una empresa o aplicación.
Creando contraseñas seguras y resistentes a criminales
Tal vez ya sabes que en promedio, un hacker tarda menos de 2 segundos en vulnerar una contraseña de 4 a 11 caracteres, o tal vez te estás enterando justo ahora.
Dale seguimiento a tu implementación de PCI DSS
Asegurate de que todo está en orden y tu recertificación será un éxito
Certificarte en PCI DSS es todo un logro. Requiere mucho tiempo, trabajo y esfuerzo. Porque de seguro ya que tienes la certificación en tus manos sientes un gran alivio. Pero, ¿qué viene después?
Ciberseguridad en la nube: Conoce los controles de seguridad para complementar a ISO 27001
Lo sabemos, la ciberseguridad y los estándares para proteger tu información suenan a mucho trabajo. Sobre todo si estás por implementar ISO 27001 y no hay controles específicos para toda esa información que guardas en la nube.
Ciberseguridad para open banking: Cómo Floid logró el éxito
Hablemos sobre como esta API se certifica en ISO 27001 y mantiene la integridad de sus clientes
El open banking llegó para revolucionar la industria financiera. Así como en su momento lo hizo la banca en línea y las aplicaciones móviles. Este protocolo permitió a las plataformas centrarse aún más en el cliente para ofrecerle productos personalizados y facilitarle los movimientos y transacciones financieras que quiera realizar.
Ciberseguridad para legaltech
Cómo proteger tu plataforma legal
Proteger tu plataforma legaltech es algo que tienes que hacer sí o sí, si quieres asegurar el éxito del negocio.
Lo que necesitas para cumplir en Chile y tener un negocio exitoso
Conoce las normativas y estándares de seguridad que tendrás que cumplir
Cuando comienzas a construir una empresa, o abres nuevas sucursales en un país diferente, siempre hay que tomar en cuenta las regulaciones que tendrás que cumplir.
Cómo encriptar datos para cumplir con PCI DSS
Lo que necesitas saber para proteger los datos de tarjetas de pago
Guardar datos en texto plano nunca es una buena idea. Sobre todo si es información sensible como contraseñas, cuentas bancarias o datos de tarjetas de pago.
Backed by
Hackmetrix 2018. All rights reserved.