viernes, 28 de septiembre de 2012

Hispasec participa en el curso de Seguridad en Tecnologías de la Información y las Comunicaciones en la Universidad de Sevilla


El departamento de Ingeniería Telemática de la Universidad de Sevilla, realizará un curso de experto en seguridad como parte de la oferta de posgrado de la Universidad de Sevilla para 2012/2013.

El profesorado incluye a Hispasec, que impartirá el temario sobre malware y seguridad en Windows.  La lista completa de profesorado: 
  • José Carlos Álvarez Parralo. PRICEWATERHOUSECOOPERS (PwC)
  • Ignacio Campos Rivera. Universidad de Sevilla Ingeniería Telemática
  • Sergio De Los Santos. HISPASEC
  • Antonio Luis Delgado González. Universidad de Sevilla Ingeniería Telemática
  • Antonio Estepa Alonso. Universidad de Sevilla Ingeniería de Sistemas y Automática
  • Godofredo Fernández Requena. Universidad de Sevilla Ingeniería Telemática
  • José Girón Gómez.  MInisterio del Interior
  • Julián González Caracuel. ISDEFE
  • Victor Iglesias Palomo. JUNTA DE ANDALUCÍA.
  • Oliver Daniel López Yela. SANDETEL
  • Germán Madinabeitia Luque. Universidad de Sevilla Ingeniería de Sistemas y Automática
  • Pablo Nebrera Herrera. ENEO
  • Jose Manuel Pavón Álvarez. ISOTROL
  • Isabel Román Martínez. Universidad de Sevilla Ingeniería de Sistemas y Automática
  • Enrique Villa Crespo. WELLNESS TELECOM
  • Juan Manuel Vozmediano Torres. Universidad de Sevilla Ingeniería de Sistemas y Automática
El número de créditos es 30,00 ECTS. El coste, 1.839 euros (tasas incluidas). El periodo de preinscripción irá del 01/10/2012 al 20/11/2012 y se impartirá de febrero a junio de 2013.

Más información aquí y aquí

martes, 11 de septiembre de 2012

¿Has perdido las llaves? Busca primero por la web

El tema de las búsquedas en Google o Bing (ponga aquí su buscador preferido) de documentos sensibles, servidores mal configurados, y otra información diversa que no-debería-pero-está-visible da mucho juego.


De hecho, cuando hacemos una auditoría, en la fase inicial. Una de las primeras tareas que realizamos es determinar qué información sobre los objetivos se encuentra "ahí fuera".

En la biblioteca de herramientas con "dorks" que hemos ido acumulando y que usamos, hay una entrada que es especialmente críticaCasi nunca da resultados. Pero de muy de vez en cuando salta la luz
verde y si es resulta comprometedora puede llegar a convertirse en un asunto bastante delicado.

Por la descripción del propio dork se intuye lo que buscamos:

intext:begin private key ext:asc


Y no falla: aparte de algún que otro falso positivo, ahí fuera están expuestas algunas claves privadas válidas:


Con la extensión podemos ir jugando puesto que existen unas cuantas más de uso común:

asc, cer, cert, crt, der, pem, gpg, p7c, p12, pfx, pgp y obviamente...txt

Y dejando la imaginación volar podemos probar estrechando la búsqueda a dominios curiosos, como .gov o el siempre profuso .edu


¿Y seguro que sirven estas claves privadas? ¿No serán simples test o claves no caducadas?


El caso de esta última es bastante curioso porque estaba expuesta en el sitio de una empresa de seguridad...