Español | English
rss facebook linkedin Twitter

Fórmate como profesional en el ámbito de la seguridad industrial

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) en su informe de 2011,”Protecting Industrial Control Systems. Recommendations for Europe and Member States”, estableció en su recomendación número 4 la necesidad de promocionar la capacitación y la sensibilización en materia de ciberseguridad en sistemas de automatización y control industrial. En particular, esta recomendación destaca la necesidad de que las iniciativas que se lleven a cabo se focalicen en estándares y buenas prácticas de seguridad y aborden, entre otros, temas transversales como tecnologías, soluciones de seguridad, etc. Así mismo, recomienda que los principios rectores sean tres: i) destacar aspectos particulares de distintos sectores; ii) evitar duplicidades con otras iniciativas similares; iii) garantizar la calidad de los colaboradores, e identifica a los organismos públicos como posibles líderes en este ámbito.

Atendiendo a las necesidades identificadas por ENISA, INTECO ha desarrollado un curso MOOC sobre ciberseguridad en sistemas de control y de automatización industrial. Esta iniciativa es uno de los resultados de las medidas definidas dentro del Plan de Confianza en el Ámbito Digital para España que pretende construir un ecosistema de captación y generación de talento en torno a INTECO, en colaboración con las universidades y el sector privado y buscando siempre la acción complementaria de las iniciativas que otros agentes están desarrollando para la capacitación de profesionales.

Miguel Rego

Miguel Rego, Director General de INTECO en el vídeo de bienvenida al curso

El curso está principalmente orientado a profesionales de Tecnologías de la Información (TI) con conocimientos de nivel medio en gestión de la seguridad de TI, análisis de vulnerabilidades y soluciones de seguridad (seguramente, si estás leyendo esta publicación, te habrás sentido identificado). A lo largo de sus siete unidades didácticas se aborda el estudio de conceptos fundamentales de los sistemas de automatización y control industrial y de infraestructuras, y en particular de las redes eléctricas inteligentes, incluyendo PLCs, RTUs, sistemas SCADA, MES, BATCH entre otros, así como de los aspectos fundamentales de ciberseguridad que les afectan. Se cubren aspectos como vulnerabilidades, amenazas, riesgos, técnicas de ataque, así como las principales buenas prácticas, principios de defensa e iniciativas de seguridad existentes en la actualidad.

Si estás interesado, encontrarás el contenido completo del curso.

Capturas del recorrido virtual a un entorno de media y baja tensión
SCADA
El curso ha sido desarrollado en colaboración con S21secLogitek y Tecnalia, empresas de referencia internacional en el ámbito de seguridad en sistemas de automatización y control y punteras en el ámbito de los propios sistemas de automatización y control y las soluciones de seguridad existentes, así como en la Smart Grid, Además, gracias a la contribución del Centro de Ciberseguridad Industrial, se ha contado con la colaboración de profesionales de la talla de Ayman Al-IssaPatrick Miller o Rubén Santamarta.

El curso, de carácter gratuito, es completo y único en España y se imparte a través de la filosofía MOOC (Massive Open Online Courses), es decir, en línea, de forma masiva, y abierto a todo el mundo. Bajo este paradigma, compartir información entre la comunidad de alumnos y la colaboración entre todos ellos es clave para la superación del curso. El curso se ofrece a través de la nueva plataforma formativa de INTECO, plataforma que se basa en este novedoso paradigma formativo, siendo la ciberseguridad industrial el primero de los muchos temas para los que se ofertarán cursos. Si decides inscribirte, has de saber que esta plataforma pone a tu disposición recursos educativos como presentaciones, vídeo tutoriales, documentación descargable, ejercicios de autoevaluación, foros donde plantear dudas y aprender con tus futuros compañeros, espacios donde crear apuntes colaborativos (wikis), y herramientas para la corrección colaborativa (P2P) de ejercicios de evaluación. Además podrás obtener niveles de reputación (karma) dentro de la comunidad en función de tu participación en los espacios de interacción entre alumnos (p. ej. foro y wiki) y una vez superadas las actividades obligatorias del curso, dispondrás de un diploma que certificará la superación del curso.

Creemos que esta es una oportunidad única para ti, por lo que te animamos a que te registres en la plataforma y te inscribas en el curso cuanto antes (el día 27 de octubre se abrirán ya los contenidos y el plazo de inscripción finalizará el 3 de noviembre). Verás además que este curso está disponible tanto en español como en inglés, reforzando así la vocación internacional de las iniciativas formativas de INTECO. Esperamos que sea de tu agrado y disfrutes tanto como nosotros hemos disfrutado preparándolo.

Lo que debemos aprender del ataque a JP Morgan

Desde finales de agosto que se hizo público, han pasado ya meses del ciberataque que recibió JP Morgan en el que se vio expuesta información de 76 millones de cuentas de cliente, y que, conforme continua la investigación, parece afectar a otras nueve entidades.

Según avanza la investigación, se va deduciendo que existe una previsible implicación del cibercrimen ruso en este ataque. Una nueva vuelta de tuerca al estado de la ciberseguridad de Estados Unidos, donde se invierten millones de dólares por parte de las grandes empresas para prevenir este tipo de situaciones.

Desde Europa y más concretamente, desde España, este ataque contra uno de los grandes financieros de USA se ve desde la barrera de la seguridad que da el no ser un objetivo prioritario en estos momentos y más concretamente para este tipo de ataques, a la espera de que la sofisticación del mismo sea alta, pero se espera que al ver las barbas del vecino afeitar, posiblemente nos empuje a meter nuestras mesadas barbas hasta las orejas en la palangana y nos obligue a replantearnos los riesgos a los que estamos siendo sometidos, y quizás cuando veamos que los riesgos de aquellos que invierten millones de dólares en seguridad no han servido para evitar un ataque, nos replanteemos nuestra filosofía de ciberseguridad.

Se puede decir que en ciberseguridad nunca hay una relación directa entre la cantidad de inversión y la menor exposición ante incidentes de seguridad. Sin embargo sí que la hay en el concepto de calidad de la inversión y la exposición ante incidentes de seguridad.

Históricamente han sido los análisis de riesgos los que identificaban aquellos activos más valiosos para el negocio o la continuidad del mismo, así como el impacto de los mismos. Esos análisis de riesgos han ido evolucionando para admitir y estudiar los nuevos vectores de ataque, su probabilidad y este cúmulo de “nuevas” amenazas.

Conforme la complejidad de los negocios crece, su exposición a los riesgos varía, ahora vemos el BYOD como un riesgo, más que como una oportunidad y a los usuarios de los sistemas como el nuevo perímetro. Se dice que detrás de todo incidente de seguridad siempre existe la certeza del error humano, lo que ha creado el estereotipo del usuario que ya denunciaba Hal 9000, "Sólo puede ser atribuible a un error humano". El usuario pincha en cualquier lado, descarga software sin control, introduce sus contraseñas donde no debe, desarrolla inadecuadamente, pone de contraseña el nombre de su gato, etc.

En un ejercicio de responsabilidad, deberíamos de descargar de parte de la culpa al usuario y entender que a veces las tecnologías, los procesos y las normativas deben asumir su parte.

S21sec

Después del HeartBleed, el ShellShock

Después del HeartBleed, el ShellShock, la vulnerabilidad que está alterando los nervios de todos los administradores de sistemas desde el día 24 de septiembre. Vulnerabilidad en el software GNU BASH mediante la que un atacante remoto y en determinadas circunstancias puede ejecutar código arbitrario añadiendo dichas sentencias a parámetros que se usarán como variables de entorno, hay información de sobra en CVE-2014-6271CVE-2014-7169CVE-2014-7186, y CVE-2014-7187.

Esto ha impactado de tal manera en Internet que en apenas horas ya había botnets explotando la vulnerabilidad, cientos de post que alertaban de la misma y todo el mundo pidiendo un PoC que había viajado en el tiempo desde los años 90, donde estábamos más acostumbrados a ver este tipo de vulnerabilidades.

Quizás la comunidad más afectada por este bug sea curiosamente la Free Software Foundation, que ha visto que su proyecto estrella, el GNU Project sufría el ataque de sarna más duro contra uno de sus eslabones mas mimados el shell Bash.

Millones de “sudo apt-get update && sudo apt-get install --only-upgrade bash“ después, estamos en un momento en que al hacer el recuento de bajas, resulta que debajo de todos cadáveres hay un alto tanto por ciento de sistemas que incorporan el GNU Bash y que se encuentran desprotegidos en Internet, de los que evidentemente nadie excepto quien sepa sacarles un provecho se va a acordar:
  1. Los X miles de routers DSL o no de operadoras basados en software GNU y que incorporaban el Bash y que a día de hoy pocos serán los actualizados.
  2.  La ingente cantidad de dispositivos SCADA basados en GNU y cuya actualización no es complicada, pero si el despliegue necesario para hacerla.
Dos sectores Telco y SCADA que tradicionalmente han aprovechado el proyecto GNU y gracias al cual ha crecido el mismo y que a día de hoy, debido a esta vulnerabilidad, han quedado expuestos.

Fuera de este post el posicionarse respecto al proyecto GNU, pero si posicionarnos sobre la gestión del cambio en las compañías, la gestión de las actualizaciones en todos nuestros elementos de negocio y el tener siempre un plan para este tipo de tsunamis tecnológicos.

Desde el HeartBleed (el anterior bug que conmociono Internet y que afectaba también a código abierto) al Shellshock no ha pasado muchos meses, los ecos del HeartBleed siguen resonando desde abril y a día de hoy todavía hay servicios sin parchear en Internet. Veremos cuándo se retiren las aguas del ShellShock cuál podrá ser la próxima que nos invite de nuevo a repensarnos si estamos haciendo una correcta gestión de la seguridad.

S21sec

El #celebgate o jocosamente llamado “The Fappening”

El #celebgate o como jocosamente se le llama en 4chan “The Fapenning”, está siendo el segundo evento del mes más comentado, detrás del ShellShock, esencialmente porque el objetivo del mismo ha sido el más que concurrido numero de famosas del que se haya tenido noticia y porque quizás y viendo sus circunstancias quede impune.

Recordando, a mediados de agosto se publica una primera entrega de fotos privadas de famosas actrices en 4chan, que al parecer han salido de sus almacenes iCloud. En aquellos momentos Apple identifica una vulnerabilidad por la cual es factible realizar ataques de fuerza bruta sobre cuentas sin ser bloqueado, aunque esto no impide que a mediados de septiembre llegue una nueva hornada de fotos y vídeos privados de actrices.

A pesar de las posibles investigaciones y denuncias, y viendo que detrás de este ataque puede estar 4chan conocidos por su “anonimato” en sus acciones, no parece que en el corto plazo se encuentren autores como ocurrió con el caso de las fotos de Scarlett Johansson y otras famosas.

La cuestión es que hemos de alguna manera perdido la sorpresa cuando se dan estos casos de pérdidas de credenciales, vemos que en cualquier momento nuestras contraseñas pueden ser comprometidas por diversos motivos:
  1. Robos en páginas de servicios, por ejemplo el conocido fallo de Sega en el 2011 que es superado día tras día con por ejemplo el deViator uno de los partner de tripadvisor..
  2. Malware específico que se instala roba las credenciales de servicios de correo, gracias al cual por ejemplo hackers rusos han conseguido acceso a millones de cuentas de correo de gmail y proveedores rusos.
  3. Páginas de phishing donde se nos pide introducir nuestras credenciales en servicios que al parecer son seguros o que nos proponen suculentos negocios, llegan indiscriminadamente a nuestros buzones de correo, o están presentes en adware.
  4. etc.
Como decimos, el tema es que a día de hoy nuestra identidad digital está distribuida entre múltiples servicios de Internet (gmail, google, facebook, linkedin, twitter, icloud, drive, Outlook, etc.) donde su única medida de seguridad en la mayor parte de los casos es una contraseña que en la mayor parte de los casos compartimos entre varios de estos servicios, así como lo hacemos con aquellos servicios de Internet en el que nos solemos registrar como usuarios (tiendas online, foros, etc.),  todo esto por no hablar de los servicios financieros donde estamos dados de alta y de los servicios corporativos de la compañía en la que estés trabajando.

Somos lo que somos en Internet y toda nuestra reputación cuelga únicamente de una contraseña en el peor de los casos, ya que muchas veces el sistema para recuperar contraseñas asegura que si accedes a alguna cuenta clave puedas hacerte con el control de las demás.

La Seguridad nos habla de segundos factores de autenticación, del manido proceso de autorización por una tercera parte confiable, modelo explotado en las ya históricas PKIs (y que se vuelve a poner de moda, ya sabes “si lo guardas se vuelve a poner de moda”), con lo que mecanismos para “securizar” esta pieza clave de nuestra vida digital existen, aunque no se implementen.

Y como de toda enfermedad es más común estudiar los síntomas que prevenirlos, ¿qué evita que apliquemos un segundo factor de autenticación a nuestras cuentas principales? Esencialmente la falta de concienciación de seguridad, más en aquellos entornos más críticos, y no, las actrices de Hollywood y sus díscolas fotos privadas no son un entorno crítico.

Los datos que manejan los CEOs, CIOs, CTOs, CISOs y demás siglas organizativas normalmente sí que lo son, por no hablar de presidentes y miembros del consejo de administración de las empresas, y en ocasiones estos últimos son los que más riesgos asumen en su día a día en Internet. Siempre que hablamos de concienciación en seguridad hemos de saber que ésta debe impregnar a la organización desde arriba, creando y dando ejemplo.

S21sec

Kronos ya está aquí...

A principios de Julio hubo noticias de un posible nuevo troyano bancario llamado Kronos a la venta en foros Underground. Desafortunadamente, no había suficientes evidencias para confirmar la existencia de esta amenaza, excepto por el anuncio destacando sus principales características, las cuales eran:
  • Captura de credenciales y form grabbing con soporte para Internet Explorer, Firefox y Chrome.
  • Inyecciones Web HTML (Técnica usada para realizar ataques de tipo Man in the Browser)
  • Rootkit con versiones para sistemas operativos de 32 y 64 bits
  • Evasión de Antivirus
  • Evasión de Sandbox
  • Comunicación con el panel de control cifrada

Pues bien, realmente no ha pasado mucho tiempo hasta su aparición in the wild.

La semana pasada, nuestra plataforma de análisis de malware detectó una muestra sospechosa que captó nuestra atención. Después de un primer vistazo, destacaba una cadena de texto contenida en el binario:



Una vez que nos pusimos manos a la obra con la ingeniería inversa del mismo, se encontraron evidencias que, efectivamente, coincidían con aquellas atribuidas inicialmente a Kronos.

Como curiosidad, parece que se dejó algún tipo de mensaje oculto para nosotros (los analistas) diciendo "keep digging" (Continúa excavando) debido -suponemos- a la fuerte protección y trucos anti ingeniería inversa contenidos en la muestra.


En la imagen anterior se puede ver el mensaje, así como otras cadenas decodificadas como las correspondientes a los distintos User-Agents usados o una lista de nombres de procesos y librerías de herramientas de análisis populares, así como software de virtualización.

Una vez que se consiguen pasar las protecciones se puede ver al malware en acción conectando con su panel de control y descargando un fichero de configuración el cual, como es habitual, está cifrado...



... pero una vez descifrado, no es una sorpresa que contuviera inyecciones Web estilo ZeuS (una mezcla de HTML y código Javascript para engañar al usuario).

Debajo se puede ver un snippet del fichero de configuración con código Javascript que una vez inyectado en la sesión del navegador de la víctima será capaz de guiar al usuario a través de los distintos pasos necesarios para completar una transacción fraudulenta sin que el mismo sea consciente.



Esta muestra en particular afecta solo a instituciones financieras francesas, pero podría haber otras con configuraciones diferentes.

Finalmente, este es el aspecto del panel de control de inyecciones y el principal:


Les mantendremos informados de cualquier novedad al respecto.


Jozsef Gegeny
S21sec Ecrime
-- 
La firma MD5 de la muestra analizada por S21sec fue: f085395253a40ce8ca077228c2322010

Nueva variante de Feodo sigue los pasos de Geodo

La actividad de Cridex (aka Feodo/Bugat) y sus variantes alcanzó su máximo exponente a finales del año pasado y principios de este, desapareciendo poco después hasta la reaparición en Junio de una nueva evolución conocida como Geodo identificada por los chicos de abuse.ch.



Esta misma semana, el departamento de Ecrime de S21sec se ha topado con lo que parece ser una nueva evolución, diferente a Geodo, de alguna de las antiguas variantes con nuevas e interesantes características.

En primer lugar, emplea un loader con funcionalidad limitada como primer punto de infección para descargarse a posteriori el módulo principal del troyano en forma de DLL, instalándose en las siguientes rutas e inyectándose en explorer.exe como habitualmente:



Dicha comunicación se realiza a través del ya característico puerto 8080 a un path algo diferente a lo visto en otras ocasiones:


Posteriormente se descargará el fichero de configuración comprimido en formato gzip pero con un header falso:



El fichero de configuración está en en formato XML y en él se incluye información estructurada de la siguiente forma:
  • modules: Descarga de nuevos módulos en Base64, que a su vez pueden ser:
    • vnc_x32
    • vnc_x64
    • socks_x32
    • socks_x64
    • bot_x32
    • bot_x64
  • httpshots y clickshots: Capturas de pantalla
  • formgrabber: Form Grabbing
  • bconnect: Servidor Back Connect
  • vncconnect: Servidor VNC
  • redirects: Referencias a recursos externos usados en las inyecciones
  • httpinjects: Entidades afectadas y sus inyecciones

A día de hoy, las entidades reflejadas en el fichero de configuración son principalmente de Reino Unido, Irlanda, Emiratos Árabes Unidos y Qatar, con algunas de las inyecciones orientadas a saltarse el segundo factor de autenticación y ser usadas en conjunto con el módulo VNC para poder así suplantar a la víctima dentro de su misma sesión en la banca electrónica.

Por lo tanto parece que después de unos meses de silencio en el mundo Cridex, al reconvertido en Geodo se le une uno de sus antiguos compañeros de viaje, maquillado para la ocasión.


Santiago Vicente
S21sec Ecrime
@S21sec@smvicente

--
Las firmas MD5 de los ficheros analizados por S21sec en el análisis han sido:
  • loader: 9d81ac7604ef2a0096537396a4a91193
  • bot_x32: 04b55edf43a006f9c531287161fa2fa8
  • vnc_x32: c73c3c18b74c67e88d5b3f4658016dcd
Otros posibles hashes para el resto de módulos son:
  • vnc_x64: 5ecfc1d3274845bf5ff3f66ca255945e
  • socks_x32: 53eb0e59b5bb574df5755527dc3d4f47
  • socks_x64: 0dfc66eadbd9e88b2262ac848eadee8f
  • bot_x64: 4df1cef98bbc174ba02f17d2ca6c0a58

Los primeros pasos del nuevo GOZ

Desde el inicio de la operación Tovar contra el conocido troyano bancario Murofet/Gameover/ZeusP2P la actividad en la botnet ha dejado de crecer y parece prácticamente abandonada desde entonces. En vez de intentar recuperar el control de la misma, parece que los botmasters (o nuevos) han optado por empezar de cero creando una nueva botnet con una nueva versión del troyano. A lo largo del post se analizarán las principales novedades al respecto.

Comunicación:

  • Se ha prescindido del Peer-to-peer (P2P) en favor de una red de tipo Fast-Flux con un nuevo algoritmo de generación de dominios (DGA).
  • La clave pública incluida en el mismo (XOReada en la misma forma que antes), ha pasado de ser usada para verificar la firma de aquellos recursos distribuidos por la red P2P, a formar parte de un sistema de comunicación clásico de clave simétrica+asimétrica en el que el payload se cifra con un algoritmo simétrico mientras que la clave generada aleatoriamente se cifra con dicha clave pública para ser enviado todo ello al panel de control en una forma similar a la ya usada, por ejemplo, en Cryptolocker (relacionado con Murofet) o Cridex/Bugat/Feodo/Geodo.
De esta forma, teniendo en cuenta que el DGA se basa en una semilla hardcodeada, bastaría cambiar la misma junto con la clave pública incorporada en el binario, para tener una nueva botnet.



Cifrado:

Mientras que el cifrado se mantiene idéntico en algunos aspectos, en otros ha sufrido modificaciones debido principalmente al nuevo sistema de comunicación anteriormente descrito. Por lo tanto nos encontramos con que:
  • Se mantiene RC4 para aquellos datos de configuración almacenados en el registro del sistema.
  • La comunicación con el panel de control, así como todo dato recibido por su parte pasaría a usar AES256+RSA.



Configuración:

La configuración por su parte no ha sufrido apenas cambios. De hecho gran parte de las inyecciones y afectaciones son antiguas, e incluso aparecen variables que usan funcionalidades no presentes ya en la actual versión, como aquella relacionada con el Proxy P2P:




Por lo tanto parece que nos encontramos con una especie de involución de Murofet, que incluso nos recuerda a Licat, su predecesor. Esto no lo hace menos interesante ya que, aunque lo visto en los ficheros de configuración podrían indicar una cierta prisa en su lanzamiento, otras nuevas características como la semilla del DGA pueden convertirlo en un reto para quienes pretendemos acabar con él, una vez más.



Santiago Vicente

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login