martes, 4 de octubre de 2022

Windows Privesc - Unquoted Service Path – La verdadera Isla de las Tentaciones

Vamos a hacer el símil con el programa, La Isla de las Tentaciones, de la cadena Telecinco.

Los participantes

En un ordenador en el que acabamos de comprometer, hemos descubierto un sistema en el que tenemos acceso con un contexto de usuario o servicio no privilegiado.

Primero de todo como buen curioso y cotilla buscaremos, entre el montón de archivos que tiene la gran mayoría de los usuarios en el escritorio del ordenador alguno que se llame contraseñas.txt. Dado que todos los días no es Reyes y que no siempre se encuentran ficheros interesantes, disponemos a apagar la tele y empezar a enumerar el sistema con la finalidad de escalar los privilegios.

Hay diversas herramientas que enumeran automáticamente distintas formas de escalar privilegios en un sistema Windows. Una de las escaladas más comunes es Unquoted Service Path.

jueves, 29 de septiembre de 2022

Internet Security Auditors mentores, un año más, del National CyberLeague GC 2022





Este año se celebra la IV edición de la Liga de Retos en el Ciberespacio (National CyberLeague GC 2022) organizada por la Guardia Civil. La NCL es una iniciativa de Seguridad Interior para poner en valor el talento juvenil de los estudiantes desde una visión pluridisciplinar de la ciberseguridad.

La forma elegida para alcanzar los objetivos establecidos es la puesta en marcha de una competición para jóvenes universitarios y de formación profesional, donde los participantes tienen la oportunidad de potenciar su talento, de una forma eminentemente práctica, que les permitirá acercarse al enfoque real de la ciberseguridad que se persigue tanto en el sector público, como en la empresa privada.

Auditar código fuente y no morir en el intento

¿Te han asignado una auditoría de código y no sabes por dónde empezar? Estás en el lugar correcto. Pero antes, ¿Sabes qué es una auditoria de código y en qué consiste?

Siguiendo la definición de la Guía de revisión de código de OWASP, "la revisión del código es una forma de ayudar a garantizar que la aplicación se ha desarrollado de manera que se "autodefienda" en su entorno determinado". Es decir, debemos realizar las comprobaciones pertinentes para verificar que están presentes los controles lógicos y de seguridad adecuados, que funcionan como se pretende y que se han invocado en los lugares correctos.

martes, 20 de septiembre de 2022

Internet Security Auditors estará en la XVI Edición de ENISE el Encuentro Internacional de Seguridad de la Información más importante del sector

Un año más se celebrará en el Palacio de Exposiciones de León, los días 19 y 20 de octubre una nueva edición del ENISE (Encuentro Internacional de Seguridad de la Información) una cita ineludible en el sector de la ciberseguridad nacional e internacional, que se ha convertido año tras año en un punto de encuentro clave para la industria de un sector en constante crecimiento.

Este año, en Internet Security Auditors tenemos la gran oportunidad de participar como sponsors y, además, nos podrás encontrar en nuestro stand en la zona expositiva, junto a otros expertos en materia de ciberseguridad.

Para más información del evento:
https://www.incibe.es/enise

lunes, 5 de septiembre de 2022

¡Bienvenido sea el IIN (BIN) de 8 dígitos! ¿Qué implicaciones conlleva, y cómo afecta al cumplimiento con PCI DSS 3.2.1 y 4.0?

NOTA: la fecha de edición de este artículo fue el pasado 05 de abril de 2022. Durante este tiempo, podría haber cambios nuevos no introducidos en el presente artículo.

Introducción

Este artículo trata sobre la ampliación del valor del IIN, y las implicaciones que esto conlleva para el cumplimiento con el estándar PCI DSS en sus versiones v3.2.1 y v4.0. A lo largo de estos últimos meses, las marcas de pago han ido modulando su posicionamiento original. Además, el PCI SSC ha publicado la nueva versión de PCI DSS, la 4.0, y también ha actualizado el contenido de varias FAQ utilizadas como referencia.  Por todo ello, ha sido necesario crear un nuevo artículo que se adapte a la realidad actual.

Antes de entrar en el tema de fondo, es necesario hacer una pequeña introducción con el fin de explicar las partes que conforman el Primary Account Number (PAN), o Número de Cuenta Primario.

viernes, 19 de agosto de 2022

ISecAuditors seleccionada de nuevo para el GEAR 2022-24 del PCI SSC

El GEAR (Global Executive Assessor Roundtable) se creó el año 2018, fecha desde la cual hemos formado parte de este grupo internacional de asesores, para obtener recomendaciones y aportaciones de los altos directivos de las empresas de asesoría de seguridad de pago acreditadas por el PCI SSC. Esta iniciativa ha permitido a los altos ejecutivos de las empresas asesoras en Normas PCI de todo el mundo proporcionar asesoramiento, retroalimentación y orientación al PCI SSC sobre las cuestiones y preocupaciones relacionadas con las evaluaciones y los programas de evaluación, representando las perspectivas de las regiones y clientes dónde y con los que trabajan.
 
Internet Security Auditors es una de las 14 empresas que forman parte del GEAR desde su creación, renovando su participación en sus 3 convocatorias. El año 2018 el GEAR se creó con 20 empresas, el 2020 se amplió a 28 miembros y este año se ha reducido en un miembro. Esta renovada participación demuestra el posicionamiento y relevancia en el entorno de Normas PCI de la compañía, gracias a lo cual el PCI SSC lleva contando con nosotros más de 4 años para participar es este grupo de expertos, donde aportamos nuestra experiencia de más de 15 años en las diferentes Normas PCI.
 
Más información en el microsite de GEAR del PCI SSC:
https://www.pcisecuritystandards.org/get_involved/global_executive_assessor_roundtable

lunes, 23 de mayo de 2022

Este junio estaremos en la RSA Conference 2022 en San Francisco (USA)



El próximo 6 de junio se celebrará en San Francisco (USA) una nueva edición de la RSA Conference, el foro mundial más importante de la industria de la ciberseguridad, un lugar para debatir las preocupaciones actuales y futuras y tener acceso a los expertos, y a ideas que ayuden tanto a individuos como empresas a avanzar en temas de ciberseguridad construyendo equipos más fuertes e inteligentes.