La ICANN (Internet Corporation for Assigned Names and Numbers), organismo responsable de asignar las direcciones del protocolo IP, entre otras cosas, recientemente ha publicado una pequeña guía en la que da algunos consejos a las compañias registradoras de dominios y a los clientes de estas últimas para protegerse frente a ataques de phishing (más concretamente, a ataques tipo "register impersonation phishing attacks").
En este tipo de ataques, el "phisher", a través de algún servicio "WHOIS", obtiene la dirección de e-mail de la persona a la que pertence el dominio (a parte de toda la información necesaria para suplantar a la compañía registradora), y le envía un correo haciendose pasar por esta última. Si el usuario pica, será redirigido a una página de log-in falsa, a través de la cual el "phisher" obtendrá las credenciales de la cuenta de administración de ese dominio. A partir de aquí, el "phisher" tiene vía libre para hacer lo que quiera con ese dominio.
Como siempre, hay que estar al loro, porque si no...
Asier Marruedo
S21sec labs
YAFEITW: Yet Another Flash Exploit In The Wild
Existen varias webs que se están haciendo eco de la noticia del uso in the wild de un exploit (información más detallada aquí) que afecta a los reproductores de Flash incluidos en la mayoría de los navegadores, habiendo estimado un número de unas 250.000 páginas web que están infectadas y nos intentan infectar. La vulnerabilidad en sí no es nueva (aunque se diga lo contrario), fue descubierta ya hace tiempo por Mark Dowd de la ya extinta ISS (ahora IBM) y ya existe parche desde hace tiempo, pero como ya se ha comentado en este blog, muchas veces actualizamos nuestro sistema operativo, pero nos olvidamos de actualizar algunas aplicaciones que usamos todos los días, como por ejemplo, el reproductor de Flash.
La mayoría de los sitios que 'sirven' los ficheros .swf maliciosos, tienen dominios de China (.cn), infectandonos generalmente con troyanos dedicados al robo de credenciales.
La última versión es la 9.0.124.0; podéis comprobar vuestra versión en esta página de Adobe, así que actualizad ahora que estáis a tiempo!!!
U otras opciones si no queréis/podéis actualizar, tipo NoScript, es usar la extensión FlashBlock si usáis Firefox.
David Barroso
S21sec e-crime
Transmitir sobre HTTP y sus riesgos
La implementación del protocolo HTTP utiliza el protocolo de control de transmisión (TCP) el cual fue estandarizado en 1980, 10 años antes de la aparición de la web. Los primeros protocolos de la capa de aplicación se diferencian considerablemente de HTTP. Por ejemplo, telnet, es una aplicación interactiva que utiliza una única conexión TCP para la transferencia de datos entre el cliente y el servidor en un periodo de tiempo. FTP mantiene una conexión de control entre el cliente y el servidor y transmite los datos en conexiones separadas. En contraste, HTTP utiliza una única conexión para la transferencia de control y datos. En comparación con los archivos transferidos por ftp, la mayoría de las peticiones y respuestas HTTP son relativamente cortas y ágiles. Estas características de HTTP unidas a que los puertos sobre los que opera (80 y 443) se intuyen siempre abiertos en todos los firewall, le han hecho convertirse en una capa de transporte de aplicaciones.
Muchas de las aplicaciones web actuales, utilizan HTTP para transportar otros protocolos de aplicación como, JSON, SOAP o RSS.
Muchas de las aplicaciones web actuales, utilizan HTTP para transportar otros protocolos de aplicación como, JSON, SOAP o RSS.
La interacción de HTTP con su mecanismo de transporte TCP, lleva asociados conceptos de manejo de conexiones, e interpretación de estados (TIME_WAIT, RST, FIN..). Esto no difiere mucho del uso que hacen protocolos como SOAP que utilizan el envoltorio de HTTP para el manejo de sesiones y parámetros de estado para que el servidor web los interprete y posteriormente otra aplicación maneje los datos que contiene. HTTP es el protocolo de transporte de otras aplicaciones.
Esta nueva situación del protocolo HTTP puede conllevar 2 serios problemas:
La falta de estándares. Ya no hay aplicaciones HTTP, ahora lo que existe son aplicaciones a medida que utilizan HTTP como medio de transporte, pero que no tienen definiciones formales. Sin estándares perdemos fiabilidad, y escalabilidad,
La seguridad a nivel de aplicación. Si no existen RFCs que definan formatos de datos ni codificaciones de carácteres, ¿que WAF protegera nuestras aplicaciones?. En este aspecto, la WASC, está preparando la versión 2 de Threat Classification, el proyecto de la clasificación de amenazas web que estará disponible en breve, donde se expondran nuevas amenazas de estos pseudo-protocolos de aplicación.
Para hacernos una idea del uso actual de HTTP, basta con ver como una simple búsqueda “over http” muestra más resultados que “over tcp”.
Ayer se utilizaba HTTP para encapsular las conexiones, hoy HTTP es el protocolo de transporte de la capa de aplicación. Se avecinan interesantes retos para la seguridad web.
Emilio Casbas
S21sec labs
¿Qué está pasando en el aire?
Desde hace un tiempo, el auge de las tecnologías Wireless va en aumento tanto en los ámbitos personales como en los profesionales. Como ocurre con toda nueva tecnología, las primeras implementaciones están diseñadas desde un punto de vista funcional, dejando de lado el enfoque de la seguridad. Aunque es cierto que hoy en día existen los recursos necesarios para implementar redes Wireless con un nivel de seguridad aceptable, lo habitual es encontrarse con redes mal configuradas que permiten el acceso de personas no autorizadas.
Los problemas que surgen una vez conseguido el acceso a una red Wireless, son básicamente los mismos que si se accediese directamente a una red cableada, pero con la ventaja por parte del intruso de que no necesita conectarse físicamente a la red.
Pero si hay un ataque que ha tomado especial relevancia con las conexiones Wireless, ese es el secuestro de sesiones, o también conocido como Hijacking de sesión. Dentro del ámbito Web, y debido a la especificación del protocolo HTTP que no esta diseñado para guardar sesiones de usuarios, la implementación de cookies es el método que posibilita que los servidores puedan reconocer las peticiones de cada uno de los usuarios conectados y así enviar la información asociada a cada uno de ellos. Por tanto, una vez que un usuario se autentica, recibirá una cookie que utilizará el servidor para identificar al usuario. Si de alguna forma, un atacante consigue hacerse con esta cookie, podría conseguir enviar peticiones al servidor como si fuese el usuario autenticado. Existen diferentes métodos que pueden permitir el robo de estas cookies, como por ejemplo XSS (CrossSite Scripting), MITM (Man in the Middle), errores en el navegador etc. Pero de entre todos, hay uno que destaca debido a la facilidad con la que se puede realizar, y es en redes Wireless donde se sitúa el ataque.
Fue Robert Graham quien durante unas conferencias Black Hat, demostró a los asistentes como a través de una red Wireless de acceso público, pudo robar una cookie de sesión a uno de los participantes de la conferencia que se encontraba conectado a Gmail y así acceder a su correo y enviar emails como si fuese el usuario atacado.
Pongamos un escenario sencillo y bastante habitual para entender como funciona el ataque. Disponemos de un Punto de Acceso que no cifra la comunicación y que permite conectarse a cualquier cliente que lo solicite. Tras la asociación de un cliente con el Punto de Acceso, este enviará tráfico Wireless entre las que se encontrarán las peticiones HTTP y el envío de la cookie de sesión por parte del servidor al que este conectado. Si dentro de la zona de alcance Wireless existiese un usuario monitorizando el tráfico, nada impediría que este usuario recogiese la cookie de sesión y la importara en su navegador web, todo esto sin necesidad de asociarse con un Punto de Acceso, y una vez con la cookie de sesión, conectarse a Internet para acceder al mismo servicio suplantando la identidad del usuario legítimo.
A pesar de ser una situación bastante habitual, hoy en día ya existen diferentes métodos que impiden un ataque tan sencillo. Uno de ellos es la asociación de la cookie de sesión a una dirección IP determinada, con lo que el acceso desde otra dirección IP con la misma cookie es descartado por el servidor. Pero a su vez, el atacante podrá conectarse al mismo Punto de Acceso del atacado y suplantar así su identidad. Además de esta asociación, las comunicaciones Wireless ya de forma más habitual, van cifradas bien sea vía WEP o WPA.
El problema surge cuando nos fijamos en la debilidad de los métodos de cifrado que en el caso de WEP es cuestión de unas horas romperlo (en el pero de los casos), y en WPA, aunque más complicado, existen métodos de ataque basados en diccionario o tablas WPA Rainbow que hacen muy viables las posibilidades de éxito a la hora obtener la clave de autenticación sobre el Punto de Acceso.
Existen varias herramientas que permiten realizar hijacking de sesión sobre redes wireless de manera sencilla, como por ejemplo las utilizadas por el propio Robert Graham, llamadas "Ferret" y "Hamster" o bien la añadida en la última versión de la distribución dedicada a seguridad Backtrack, llamada "Wifizoo". En esta imagen podemos ver que tan sencillo es reutilizar una sesión capturada a través del Wifizoo, con solo darle click al link Wifizoo seteara la cookie en el navegador y abrirá la página en cuestión:
Si tienes una red Wireless, desde nuestro departamento de Auditoría podemos ayudarte a evaluar la seguridad de la misma.
Jonathan Barajas
Departamento de Auditoría
Los problemas que surgen una vez conseguido el acceso a una red Wireless, son básicamente los mismos que si se accediese directamente a una red cableada, pero con la ventaja por parte del intruso de que no necesita conectarse físicamente a la red.
Pero si hay un ataque que ha tomado especial relevancia con las conexiones Wireless, ese es el secuestro de sesiones, o también conocido como Hijacking de sesión. Dentro del ámbito Web, y debido a la especificación del protocolo HTTP que no esta diseñado para guardar sesiones de usuarios, la implementación de cookies es el método que posibilita que los servidores puedan reconocer las peticiones de cada uno de los usuarios conectados y así enviar la información asociada a cada uno de ellos. Por tanto, una vez que un usuario se autentica, recibirá una cookie que utilizará el servidor para identificar al usuario. Si de alguna forma, un atacante consigue hacerse con esta cookie, podría conseguir enviar peticiones al servidor como si fuese el usuario autenticado. Existen diferentes métodos que pueden permitir el robo de estas cookies, como por ejemplo XSS (CrossSite Scripting), MITM (Man in the Middle), errores en el navegador etc. Pero de entre todos, hay uno que destaca debido a la facilidad con la que se puede realizar, y es en redes Wireless donde se sitúa el ataque.
Fue Robert Graham quien durante unas conferencias Black Hat, demostró a los asistentes como a través de una red Wireless de acceso público, pudo robar una cookie de sesión a uno de los participantes de la conferencia que se encontraba conectado a Gmail y así acceder a su correo y enviar emails como si fuese el usuario atacado.
Pongamos un escenario sencillo y bastante habitual para entender como funciona el ataque. Disponemos de un Punto de Acceso que no cifra la comunicación y que permite conectarse a cualquier cliente que lo solicite. Tras la asociación de un cliente con el Punto de Acceso, este enviará tráfico Wireless entre las que se encontrarán las peticiones HTTP y el envío de la cookie de sesión por parte del servidor al que este conectado. Si dentro de la zona de alcance Wireless existiese un usuario monitorizando el tráfico, nada impediría que este usuario recogiese la cookie de sesión y la importara en su navegador web, todo esto sin necesidad de asociarse con un Punto de Acceso, y una vez con la cookie de sesión, conectarse a Internet para acceder al mismo servicio suplantando la identidad del usuario legítimo.
A pesar de ser una situación bastante habitual, hoy en día ya existen diferentes métodos que impiden un ataque tan sencillo. Uno de ellos es la asociación de la cookie de sesión a una dirección IP determinada, con lo que el acceso desde otra dirección IP con la misma cookie es descartado por el servidor. Pero a su vez, el atacante podrá conectarse al mismo Punto de Acceso del atacado y suplantar así su identidad. Además de esta asociación, las comunicaciones Wireless ya de forma más habitual, van cifradas bien sea vía WEP o WPA.
El problema surge cuando nos fijamos en la debilidad de los métodos de cifrado que en el caso de WEP es cuestión de unas horas romperlo (en el pero de los casos), y en WPA, aunque más complicado, existen métodos de ataque basados en diccionario o tablas WPA Rainbow que hacen muy viables las posibilidades de éxito a la hora obtener la clave de autenticación sobre el Punto de Acceso.
Existen varias herramientas que permiten realizar hijacking de sesión sobre redes wireless de manera sencilla, como por ejemplo las utilizadas por el propio Robert Graham, llamadas "Ferret" y "Hamster" o bien la añadida en la última versión de la distribución dedicada a seguridad Backtrack, llamada "Wifizoo". En esta imagen podemos ver que tan sencillo es reutilizar una sesión capturada a través del Wifizoo, con solo darle click al link Wifizoo seteara la cookie en el navegador y abrirá la página en cuestión:
Si tienes una red Wireless, desde nuestro departamento de Auditoría podemos ayudarte a evaluar la seguridad de la misma.
Jonathan Barajas
Departamento de Auditoría
Race to Zero - Defcon
Desde el 8 de Agosto y durante tres días, tendrá lugar en las Vegas la ya mítica DEFCON [http://www.defcon.org].
En su decimosexta edición, se ha introducido por parte de los participantes, un nuevo concurso, bautizado como "Race to Zero" [http://www.racetozero.net]. Este concurso esta dando mucho que hablar tanto entre los expertos en seguridad, como entre las grandes compañías de antivirus.
El objetivo del concurso consiste en modificar malware ya existente y reconocido por los sistemas de antivirus, para que una vez modificados, éstos no puedan detectarlos como software malicioso.
El concurso se desarrollara de forma que, cada uno de los participantes recibirá una pieza de software reconocida por los sistemas de antivirus como código malicioso. Los participantes deberán realizar las modificaciones pertinentes sobre los archivos dados, intentando eludir las prácticas habituales de los antivirus incluyendo sus sistemas de firmas y motores heurísticos, para identificar dicho malware.
Los nuevos archivos modificados pasaran un test en un sistema similar al de www.virustotal.com en que se analizará el fichero modificado por diferentes marcas conocidas de antivirus para comprobar que ya no es detectado. Si el nuevo archivo resultante consigue eludir todos los sistemas de detección, se verificará que el software modificado contiene las mismas funcionalidades que el original. Tras superar los análisis de los sistemas de antivirus, se irán accediendo a diferentes niveles en los que los participantes tendrán malware cada vez más difícil de camuflar.
Los premios no sólo serán para aquellos que consigan superar todos los niveles, si no que se valorará por ejemplo la “Ofuscación más elegante”, “el engaño más sucio para una Ofuscación”, “Mejor valor de comedia” y “Mejor merecedor de una cerveza”.
Desde la página Web del concurso, se exponen las motivaciones que llevaron a su creación. Partiendo de la idea de que la seguridad es una evolución continua frente a las nuevas amenazas que aparecen periódicamente, obligando tanto a compañías como a particulares a invertir una gran cantidad de esfuerzo y dinero, este evento tiene como objetivo recoger información útil respecto a diferentes aspectos como:
Qué dificultad entraña la alusión de los sistemas de antivirus actuales en un entorno real.
El coste que conlleva en términos de tiempo y dinero
El nivel de conocimientos necesarios
Las técnicas más efectivas a la hora de evitar la detección de malware.
Por otro lado la reacción de las empresas de antivirus no se ha hecho esperar. Para la mayoría, este tipo de eventos solo sirve para fomentar el uso de estas técnicas de evasión entre los creadores de virus y así conseguir una ventaja frente a los sistemas de detección actuales.
Paul Ferguson, investigador de Trend Micro comenta que “La liberación de información de manera responsable es una cosa, pero el alentar a la gente a realizar esto como parte de un concurso es demasiado.”. Según Roger Thompson, Investigador en Jefe de AVG tecnologías, las empresas de antivirus analizan 30.000 nuevas firmas cada día, y no hay necesidad de crear nuevas muestras. Además según el punto de vista de Roger Thompson, “Es difícil ver algo positivo, ya que alentará a la gente a escribir más virus” catalogando el concurso como “una idea estúpida.”.
Solo es cuestión de tiempo y esperar a los resultados de este evento,
Jonathan Barajas
Departamento de Auditoría
Buscando las .ing
La cantidad de conceptos que surgen para definir los distintos modos de "hacer el mal" en el ámbito cibernético está empezando a asustarme. A los más que archiconocidos hacker o cracker se unieron en su día los términos phishing, pharming, malware, y un sinfín de términos más, que hay que saber distinguir porque cada uno es diferente.
Es más, en el mundo de la seguridad informática no gusta que se use el término hacker, referente a una persona con los conocimientos suficientes como para realizar una labor, para designar a la persona que se dedica por ejemplo al phishing, ya que su “cometido” no es el que se le supone a un phisher, y sin embargo leemos y escuchamos cada día en los medios de comunicación que confunden esos términos.
A decir verdad, cada uno entiende las cosas como quiere, y seguro que tú, que me estás leyendo, usarás unos términos distintos de los que uso yo y sin embargo ambos sabemos qué tipo de ciberdelincuente usa cada tipo de malware.
El caso es que han aparecido unos cuantos nuevos conceptos dentro de este mundillo y quería ponerlo en conocimiento de la gente. Ya sé que muchos de los lectores del blog están todo el día informándose y no les pillará de nuevas, pero para aquellos que no lo sepan, ya han llegado los conceptos de whaling, también llamado Whale Phishing o wishing, y otros términos menos conocidos como hishing, sishing, y tantos otros.
En el post de hoy se resume un poco el whaling, que no es el término usado para cazar ballenas como dice la Wiki, aunque la relación con el phishing, término que procede de fishing, está que ni pintada. El término whaling hace referencia al nuevo modo en que los delincuentes informáticos usan para sus ilícitos negocios, y está basado en el phishing a un alto nivel, es decir, personalizado para los dirigentes de las empresas.
Tan personalizado que los mensajes que llegan a dichos usuarios aparecen, según qué casos, con el nombre, estado civil, domicilio particular y otras informaciones personales de la potencial víctima. De este modo los ataques se centran en personas con un mayor nivel adquisitivo, y de igual manera potenciales objetivos, reduciendo la cantidad de mensajes enviados en aras de conseguir objetivos más localizados.
En fin, que el creador de malware además debe tener imaginación para saber cómo conseguir la información, como se puede observar en este post, o saber cómo hacer que la gente pique (hablando de pesca), mediante phishing, whaling, o cualquiera de los nuevos conceptos que se tratarán en este blog. ¡Ahí es donde todos tenemos que estar atentos para que no nos la cuelen!
Por cierto, ¿se te ocurre algún nombre nuevo para algunos de estos ciberdelitos?
Miguel López-Negrete
S21sec labs
S21sec labs
The OpenSSL bug
The OpenSSL bug in Debian based distributions made his way around the net. Many users are affected by the threat because not only SSH but also e.g. OpenVPN, IPSec, Mail, Web and DNS(sec) server which generate keys using OpenSSL have to be seen as compromised. Also non Debian systems have to be taken into account since users may have copied weak keys to the system.
The story about all is that a Debian package maintainer changed the code of OpenSSL because Valgrind - a tool to check the quality of source code - complained about some memory leaks. The result of this change is that uninitialized memory - used as a source for random data - was not used anymore and the seed for the crypto functions was only the pid of the process generating the keys.
The result is a very small possible key range when using the affected SSL versions. One day after the SSL bug was published by Debian HD Moore generated the most common SSH keys within this range. The same day the first brute-force tools appeared, which make use of this key tables.
HD moore also has some premature artwork using a dilbert comic on his page to blame about the Debian distribution: "Debian - You Can Never be Sure"
But this is only half of the truth. Yes, Debian maintainers changed the code of a very important package within the distribution. But before this happened, they asked on the OpenSSL mailing list about this change. And the OpenSSL people affirmed that this change does not affect the security of OpenSSL..
More information about the threat and how to handle it can be found on the official Debian wiki.
The story about all is that a Debian package maintainer changed the code of OpenSSL because Valgrind - a tool to check the quality of source code - complained about some memory leaks. The result of this change is that uninitialized memory - used as a source for random data - was not used anymore and the seed for the crypto functions was only the pid of the process generating the keys.
The result is a very small possible key range when using the affected SSL versions. One day after the SSL bug was published by Debian HD Moore generated the most common SSH keys within this range. The same day the first brute-force tools appeared, which make use of this key tables.
HD moore also has some premature artwork using a dilbert comic on his page to blame about the Debian distribution: "Debian - You Can Never be Sure"
But this is only half of the truth. Yes, Debian maintainers changed the code of a very important package within the distribution. But before this happened, they asked on the OpenSSL mailing list about this change. And the OpenSSL people affirmed that this change does not affect the security of OpenSSL..
More information about the threat and how to handle it can be found on the official Debian wiki.
Clemens Kurtenbach
S21sec labs
Love You..
No, no es una declaración de amor ni un sentimiento irracional. Es la nueva acometida de nuestra amiga Storm, en busca de nuevos ordenadores para sus huestes. Desde hace unas horas, nuestra botnet favorita está enviando millones de correos con un simple mensaje: 'I Love You'. Y en el contenido del mensaje, aún más profundos los sentimientos que expresa: 'Pages from My Heart http://x.x.x.x'. (¿Por qué el from no empieza por mayúscula?)
Ahora mismo utiliza 4 dominios para comunicarse con sus peers, un .com y tres .cn. Esperaremos el siguiente paso.
Si nos conectamos a la página que se almacena en uno de los ordenadores que forma parte de Storm, un ordenador totalmente normal donde seguramente su dueño no se ha dado cuenta lo que está haciendo (sí que notara una degradación en su ancho de banda), obtenemos la siguiente página:
Your download should start automatically in a few seconds. If not, click here to start the download.Que nos hará bajar el código para que nos infectemos. En esta ocasión, no parece que intente infectar a la gente utilizando drive-by exploits, sino que tan sólo espera que la gente ejecute el programa.
De nuevo, también utiliza nginx para tanto mostrar la página de 'Love You..' como para servir el binario iloveyou.exe. Para los que no conozcáis nginx, es un servidor HTTP que tiene funciones de proxy muy utilizado no sólo en Rusia, sino en muchos sites importantes en Internet (un 4%), pero que además, es también muy utilizado en numerosos casos de malware, además de ser el preferido cuando hablamos de flast-flux que protegen su mothership...
Recién salido del horno: compilado hoy 19 de Mayo de 2008 (no virus detected)
Ahora mismo utiliza 4 dominios para comunicarse con sus peers, un .com y tres .cn. Esperaremos el siguiente paso.David Barroso
S21sec e-crime
Cumpleaños Feliz
Hoy hace exactamente un año (y dos días) que inauguramos este Blog con la ilusión que nos caracteriza.
El tiempo pasa volando y ya ha pasado un año!
Ante todo os queremos agradecer vuestra compañía a todos lo que nos seguís.
Sinceramente hemos superado nuestras expectativas para este primer año, pero eso sí, no dejamos de trabajar para seguir mejorando y poder ofreceros lo mejor.
Enhorabuena al equipo de S21sec y MUCHAS GRACIAS a todos los que nos leeis, aportáis e ilusionáis.
PD: Nuestra "tarta" de cumpleaños no tiene tarta, porque estamos en "Operación Bikini", alguien más?
El tiempo pasa volando y ya ha pasado un año!
Ante todo os queremos agradecer vuestra compañía a todos lo que nos seguís.
Sinceramente hemos superado nuestras expectativas para este primer año, pero eso sí, no dejamos de trabajar para seguir mejorando y poder ofreceros lo mejor.
Enhorabuena al equipo de S21sec y MUCHAS GRACIAS a todos los que nos leeis, aportáis e ilusionáis.
PD: Nuestra "tarta" de cumpleaños no tiene tarta, porque estamos en "Operación Bikini", alguien más?
Videovigilancia ¿basta con informar o es necesario también el consentimiento?
El tratamiento de las imágenes obtenidas por cámaras de videovigilancia necesitaría del consentimiento inequívoco de las personas que en ellas aparecieran (algo que en la mayor parte de las situaciones es muy difícil llevar a cabo) a tenor de las siguientes afirmaciones realizadas por la Agencia Española de Protección de Datos:
Alfonso Escobar
Departamento de Consultoría
- “El tratamiento que se realice por una cámara deberá encontrarse legitimado por alguno de los supuestos previstos en la LOPD. Ello exigirá, en general, que se cuente con el consentimiento de cada uno de los que resulten grabados, cosa que resulta en la práctica imposible o que una ley legitime dicho tratamiento. A tal efecto, entendemos que tanto la Ley de Seguridad Privada como y la Ley Orgánica de Seguridad Ciudadana habilitan el tratamiento” (página 152 de la Memoria de la Agencia el año 2006);
- “Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1...” (artículo 2 de la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras);
- “Es por tanto necesario encontrar una ley que legitime el tratamiento, o de obtener el consentimiento de cada uno de los que se introduzcan en el taxi y resulten grabados por la cámara. En consecuencia, sí resulta imposible obtener el consentimiento de cada cliente que acceda al taxi, es preciso acudir alguna Ley que legitime el tratamiento” (Informe Jurídico de la Agencia 365/2007);
- “La captación y grabación de personas en la vía pública debe contar, o bien con el consentimiento de las personas grabadas (caso en la práctica imposible) o bien que una ley legitime el tratamiento, caso de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la Utilización de Videocámaras por las Fuerzas y Cuerpos de Seguridad en Lugares Públicos, o caso de la Ley 23/1992, de 30 de julio, de Seguridad Privada “ (Resolución de la Agencia E/00691/2006);
- “De existir tales imágenes y quedar identificados los titulares de las mismas, la exigencia del consentimiento para su tratamiento, así como su acreditación ante esta Agencia, sería un deber inexcusable para el responsable del mismo” (Resolución de la Agencia PS/00206/2007);
- “Cabe apreciar que la persona denunciada captó imágenes de la vía pública… … Dicho tratamiento, por tanto, ha de contar con el consentimiento del afectado, circunstancia que no se ha acreditado por lo que cabe estimar cometida la infracción” (Resolución de la Agencia PS/00098/2005).
- “De ello cabe concluir que la vigente LOPD ha acentuado las garantías precisas para el tratamiento de los datos personales, vinculando el consentimiento del afectado a la información previa que reciba” (Resoluciones de la Agencia E/01205/2006 y E/01093/2007);
- “Instalación de videocámaras de vigilancia en la fachada del establecimiento público, dedicado a la actividad de cafetería con música, denominado “PUB ACUARIO”… …”Ha quedado acreditado que en la entrada del “PUB ACUARIO” existía cartel informativo sobre la existencia de un sistema de videovigilancia”. (Resolución de la Agencia E/00093/2006);
- “Asimismo, el derecho de información de las personas afectadas consta que se encuentra garantizado a través de distintivos informativos suficientemente visibles en la zona de influencia de la video-cámara” (Resolución de la Agencia E/00627/2005)
Alfonso Escobar
Departamento de Consultoría
Zango, Storm y AdPack: cuando el río suena..
Desde hace varios años, existe una compañía llamada ahora Zango (antes conocida como 180solutions o Hotbar) que tiene una dudosa relación con la instalación de spyware o cualquier tipo de código malicioso. Realmente Zango ofrece juegos, videos y todo tipo de contenido a cambio de instalarte un programa que te muestra anuncios cada cierto tiempo (adware).
Si buscamos en Google sobre Zango, pronto encontraremos muchos enlaces donde la gente se queja de lo que instala Zango, pero siempre Zango se defiende diciendo que lo que hace es totalmente legal. Legal o no, algo pasa puesto que muchas casas de antispyware o antivirus lo detectan como posiblemente peligroso, aunque Zango incluso denunció a alguna de ellas por este motivo (aunque luego quitó la denuncia).
"I really don't know what to say. It's astonishing how people's perceptions of Zango continue to be informed by this sort of post. How exactly does this constitute evidence that Zango is untrustworthy?"Lo interesante del tema es que hace unos días, la unidad de e-crime de S21sec encontró un nuevo kit de infección llamado AdPack (similar a MPack, IcePack, FirePack, GPack, ...) que incluía un fichero llamado zango.php. Este fichero realmente lo que hace es intentar explotar una vulnerabilidad en la toolbar que instala Zango, con lo que realmente utilizan Zango para instalar otro tipo de malware: algo malicioso (AdPack) utiliza algo supuestamente malicioso (Zango) para instalar otro tipo de programas maliciosos (generalmente Bancos o InfoStealer).
Además, también se comenta que las últimas versiones de Storm, también intentan explotar las vulnerabilidades de la toolbar de Zango en las páginas que crea, utilizando drive-by exploits. Algunos se atreven a comentar la relación de Zango con Storm, pero yo creo que es ir demasiado lejos, y es simplemente una explotación más en un software vulnerable (aunque ese software sea posiblemente malicioso). De todas formas, no es la primera vez que este tipo de cosas ocurren, ¿se os ocurre alguna?
David Barroso
S21sec e-crime
La letra pequeña de la CIA (I)
Reconozcámoslo.
Para el usuario medio de tecnologías de la información, para el trabajador que cada día se enfrenta a un ordenador en su trabajo, pero al que en el fondo, “todo eso de los ordenadores” le sigue pareciendo magia hermética, la seguridad informática a menudo le hace sentir como en la siguiente viñeta de Mauro Entrialgo.
Y es cierto que no se les puede culpar. De los tres componentes básicos de la seguridad Confidentiality, Integrity y Availability (en efecto, esta es la CIA a la que me refiero en el título) a menudo se sacrifica la disponibilidad en beneficio de las otras dos, e incluso tan solo de la confidencialidad.
Resultaría ocioso explicar que la información existe para ser consultada, procesada y transmitida; y que, si no podemos disponer de ella en el momento y la forma necesaria, esa información es inútil. Es algo que puede ocurrir de muy diversos modos, sin embargo hoy quiero hablar de un caso en el que la información verdaderamente se pierde.
De los cientos de Exabytes de información que se crean, capturan y replican anualmente (161 Exabytes en 02006, y se calcula que llegarán a 988 en 02010) la inmensa mayoría –por no decir todos ellos- están condenados a ser inútiles, por inaccesibilidad, en menos tiempo del que dura una vida humana. Como decía el investigador de RAND Jeff Rothenberg: "Sólo es una broma hasta cierto punto el decir que la información digital dura para siempre, o cinco años, lo que llegue antes".
El vertiginoso ritmo de actualización en las tecnologías de la información a menudo hace descuidar, si no ignorar por completo, la compatibilidad hacia atrás o retrocompatibilidad. De manera que, no sólo los expertos en seguridad, sino la inmensa mayoría de los profesionales del sector están sutil, solapadamente y a medio plazo, comportándose como el “experto” de la viñeta.
Se han dado casos particularmente representativos del extraordinario esfuerzo, y a menudo inutilidad, que supone intentar preservar la información digital en el tiempo.
Pero no hace falta recurrir a ningún estudio para darse cuenta de eso. Cualquiera que haya trabajado con recursos informáticos y documentos desde hace 10 ó 15 años sabe que, para el usuario medio del que hablábamos al principio, le pueden resultar irrecuperables. Y no es exagerado afirmar que a veces son un desafío incluso para los expertos. De hecho, hay quien utiliza tecnologías obsoletas para añadir seguridad a un sistema.
Las preguntas que se me ocurren al respecto son múltiples. ¿Se dedica el suficiente esfuerzo y dedicación a la preservación de la información contenida en tecnologías ya obsoletas? ¿Serán nuestros nietos capaces de ver más fotos de nuestros abuelos, en papel, que nuestras en jpg?
Y sobre todo. ¿Quién debe realizar hoy la labor preservadora de los monjes y escribas de la edad media? ¿Corresponde a las compañías especializadas en seguridad –recordemos la A de la CIA- proponer soluciones a este problema? ¿Qué proyectos existen al respecto?
Por el momento, yo sólo tengo noticia de una organización que trabaje en ello con una perspectiva verdaderamente amplia.
Pero eso os lo contaré en el siguiente post.
Mientras tanto... ¿Alguien intenta adivinar?
Luis Tarrafeta
S21sec labs
Para el usuario medio de tecnologías de la información, para el trabajador que cada día se enfrenta a un ordenador en su trabajo, pero al que en el fondo, “todo eso de los ordenadores” le sigue pareciendo magia hermética, la seguridad informática a menudo le hace sentir como en la siguiente viñeta de Mauro Entrialgo.
Y es cierto que no se les puede culpar. De los tres componentes básicos de la seguridad Confidentiality, Integrity y Availability (en efecto, esta es la CIA a la que me refiero en el título) a menudo se sacrifica la disponibilidad en beneficio de las otras dos, e incluso tan solo de la confidencialidad.
Resultaría ocioso explicar que la información existe para ser consultada, procesada y transmitida; y que, si no podemos disponer de ella en el momento y la forma necesaria, esa información es inútil. Es algo que puede ocurrir de muy diversos modos, sin embargo hoy quiero hablar de un caso en el que la información verdaderamente se pierde.
De los cientos de Exabytes de información que se crean, capturan y replican anualmente (161 Exabytes en 02006, y se calcula que llegarán a 988 en 02010) la inmensa mayoría –por no decir todos ellos- están condenados a ser inútiles, por inaccesibilidad, en menos tiempo del que dura una vida humana. Como decía el investigador de RAND Jeff Rothenberg: "Sólo es una broma hasta cierto punto el decir que la información digital dura para siempre, o cinco años, lo que llegue antes".
El vertiginoso ritmo de actualización en las tecnologías de la información a menudo hace descuidar, si no ignorar por completo, la compatibilidad hacia atrás o retrocompatibilidad. De manera que, no sólo los expertos en seguridad, sino la inmensa mayoría de los profesionales del sector están sutil, solapadamente y a medio plazo, comportándose como el “experto” de la viñeta.
Se han dado casos particularmente representativos del extraordinario esfuerzo, y a menudo inutilidad, que supone intentar preservar la información digital en el tiempo.
Pero no hace falta recurrir a ningún estudio para darse cuenta de eso. Cualquiera que haya trabajado con recursos informáticos y documentos desde hace 10 ó 15 años sabe que, para el usuario medio del que hablábamos al principio, le pueden resultar irrecuperables. Y no es exagerado afirmar que a veces son un desafío incluso para los expertos. De hecho, hay quien utiliza tecnologías obsoletas para añadir seguridad a un sistema.
Las preguntas que se me ocurren al respecto son múltiples. ¿Se dedica el suficiente esfuerzo y dedicación a la preservación de la información contenida en tecnologías ya obsoletas? ¿Serán nuestros nietos capaces de ver más fotos de nuestros abuelos, en papel, que nuestras en jpg?
Y sobre todo. ¿Quién debe realizar hoy la labor preservadora de los monjes y escribas de la edad media? ¿Corresponde a las compañías especializadas en seguridad –recordemos la A de la CIA- proponer soluciones a este problema? ¿Qué proyectos existen al respecto?
Por el momento, yo sólo tengo noticia de una organización que trabaje en ello con una perspectiva verdaderamente amplia.
Pero eso os lo contaré en el siguiente post.
Mientras tanto... ¿Alguien intenta adivinar?
Luis Tarrafeta
S21sec labs
Seguridad en el hardware (y II)
Dos meses después de haber escrito acerca de los peligros en cuanto a la seguridad en la fabricación globalizada de hardware aparece una noticia en la que de una forma alarmante el FBI declara que los militares norteamericanos podrían estar haciendo uso de equipamiento informático "falso".
Pero esta copia, fruto de un delicado trabajo de falsificación, no supondría mayor preocupación de no ser por el cada vez mayor temor de que en el diseño de estos semiconductores haya sido introducido un troyano con el fin de apoderarse de información confidencial. Estos chips, presentes en los dispositivos más cotidianos "Made in China" de nuestros hogares y trabajos (como los routers), podrían estar llevando a cabo un mayor número de funciones de las deseables.
Esta problemática, ya arrastrada desde hace años y con difícil solución hace perder al mercado legítimo de fabricantes de hardware millones de dólares y una elevada cantidad de clientes. Sin embargo, parece que ahora se empieza a tener en mente el factor de la seguridad, más aún cuando han sido descubiertas perfectas réplicas que ni las etiquetas holográficas de Cisco son capaces de diferenciar, y que podrían estar llevando a cabo una labor de espionaje (aunque otras salen ardiendo).
Y aunque Cisco declara no haber encontrado puerta trasera alguna tras un detenido escrutinio de este material falso, siempre nos queda la sospecha de que pueda no haber sido localizado en sus productos o en el de otros fabricantes. ¿Solución? No existe, hoy por hoy, a no ser que estemos a tiempo de volver al pasado.
Álvaro Ramón
S21sec labs
Pero esta copia, fruto de un delicado trabajo de falsificación, no supondría mayor preocupación de no ser por el cada vez mayor temor de que en el diseño de estos semiconductores haya sido introducido un troyano con el fin de apoderarse de información confidencial. Estos chips, presentes en los dispositivos más cotidianos "Made in China" de nuestros hogares y trabajos (como los routers), podrían estar llevando a cabo un mayor número de funciones de las deseables.
Esta problemática, ya arrastrada desde hace años y con difícil solución hace perder al mercado legítimo de fabricantes de hardware millones de dólares y una elevada cantidad de clientes. Sin embargo, parece que ahora se empieza a tener en mente el factor de la seguridad, más aún cuando han sido descubiertas perfectas réplicas que ni las etiquetas holográficas de Cisco son capaces de diferenciar, y que podrían estar llevando a cabo una labor de espionaje (aunque otras salen ardiendo).
Y aunque Cisco declara no haber encontrado puerta trasera alguna tras un detenido escrutinio de este material falso, siempre nos queda la sospecha de que pueda no haber sido localizado en sus productos o en el de otros fabricantes. ¿Solución? No existe, hoy por hoy, a no ser que estemos a tiempo de volver al pasado.
Álvaro Ramón
S21sec labs
Seguridad: lecciones de historia
1. El programa es el usuario.
Un usuario al que actualmente le asaltan diálogos y mensajes en el entorno de escritorio sobre aspectos que desconoce completamente o le dan igual y que de ellos depende en gran medida la seguridad de los escritorios actuales. Iconos de candados, https, URLs de color, feos avisos de certificados...
2. Listas negras: ¿Cuántos años llevamos usándolas?
¿Virus?: A la lista negra.
¿Spyware?: A la lista negra
¿Malware?: A la lista negra.
Y luego nos sorprendemos cuando las cosas fallan.
Como en la historia. Conocer el pasado a menudo nos ayudará a entender el presente y avanzar aprendiendo de los errores ya cometidos.
Las anteriores ideas están extraidas de la presentación realizada por Ivan Krstic, director de la arquitectura de seguridad del OLPC, donde se diseño una nueva plataforma de ejecución de código -Bitfrost- para evitar todas las amenazas de seguridad que acosan nuestros escritorios, pero aprendiendo del pasado y adaptándolo al presente. Algo similar a conceptos como SElinux, GRsecurity, AppArmour o recientemente Caja.
Bitfrost tenía muy buenas perspectivas, pero lamentablemente parece que todavía no está completo y a juzgar por el último giro del OLPC y la salida de Ivan del proyecto, no se sabe cual será su progreso a partir de ahora.
Emilio Casbas
S21sec labs
Ritchie, Thompson, 1971.
Se trata del modelo de permisos que expusieron en su día Kernighan y Ritchie trabajando en el S.O Unix, pero que ya no tiene cabida en la era de Internet donde todo está conectado. Esta idea data de 1971, donde era inconcebible que código malicioso apareciera en una máquina si no era conectándole físicamente una tarjeta.
El entorno operativo necesita mejor protección desde la aplicación y debe ejecutar su propia máquina virtual en lugar de heredar permisos totales del usuario.
El entorno operativo necesita mejor protección desde la aplicación y debe ejecutar su propia máquina virtual en lugar de heredar permisos totales del usuario.
Un usuario al que actualmente le asaltan diálogos y mensajes en el entorno de escritorio sobre aspectos que desconoce completamente o le dan igual y que de ellos depende en gran medida la seguridad de los escritorios actuales. Iconos de candados, https, URLs de color, feos avisos de certificados...
El usuario si quiere realizar su trabajo (el que sea) siempre hara click en "Permitir" o "Aceptar" independienetemente de lo que le esté advirtiendo ese poco amigable mensaje de aviso.
Si los usuarios no lo entienden, no existe.2. Listas negras: ¿Cuántos años llevamos usándolas?
¿Virus?: A la lista negra.
¿Spyware?: A la lista negra
¿Malware?: A la lista negra.
Y luego nos sorprendemos cuando las cosas fallan.
Como en la historia. Conocer el pasado a menudo nos ayudará a entender el presente y avanzar aprendiendo de los errores ya cometidos.
Las anteriores ideas están extraidas de la presentación realizada por Ivan Krstic, director de la arquitectura de seguridad del OLPC, donde se diseño una nueva plataforma de ejecución de código -Bitfrost- para evitar todas las amenazas de seguridad que acosan nuestros escritorios, pero aprendiendo del pasado y adaptándolo al presente. Algo similar a conceptos como SElinux, GRsecurity, AppArmour o recientemente Caja.
Bitfrost tenía muy buenas perspectivas, pero lamentablemente parece que todavía no está completo y a juzgar por el último giro del OLPC y la salida de Ivan del proyecto, no se sabe cual será su progreso a partir de ahora.
Emilio Casbas
S21sec labs
¿Soluciones domesticas para protegernos de una intrusión WI-FI?
Un reciente informe del FBI (Federal Bureau Investigation), establece un conjunto de medidas básicas para la protegernos frente ataques para obtener datos confidenciales de nuestra navegación, así como de la propia información que podamos tener en nuestros equipos portátiles, tales como datos confidenciales de nuestra compañía, nuestra identificación de usuario, los números de nuestras tarjetas de crédito.
El mismo informe establece el “Top Ten” reconexiones WI-FI por países en el que posiciona a España como el octavo país mundial en conexiones WI-FI, lo que evidentemente aumenta las posibilidades de conectividad así como el riesgo que sufrimos frente a un ataque para la obtención de información sensible.
El “Agente Especial Donna Peterson” establece en dicho informe un conjunto de recomendaciones entre las que destacan:
Unas buenas prácticas para que cualquier usuario pueda protegerse en sus conexiones Wireless.
David Imizcoz Etxeberria
Manager de Consultoria Grupo S21sec Gestión S.A.
El mismo informe establece el “Top Ten” reconexiones WI-FI por países en el que posiciona a España como el octavo país mundial en conexiones WI-FI, lo que evidentemente aumenta las posibilidades de conectividad así como el riesgo que sufrimos frente a un ataque para la obtención de información sensible.
El “Agente Especial Donna Peterson” establece en dicho informe un conjunto de recomendaciones entre las que destacan:
- Asegurarse el Mantenimiento actualizado del equipo:
- Actualización del sistema operativo.
- Configuración del firewall personal.
- Actualización del Antivirus
- Instalación y actualización de un antispyware.
- No realizar transacciones u operaciones bancarias ni emplear herramientas de correo electrónico y mensajería instantánea a través de conexiones WI-FI que no sean de confianza.
- Cambiar la configuración por defecto del equipo, y seleccionar manualmente las redes WI-FI a las que se quiera conectar.
- Desconectar las conexiones de red inalámbrica siempre que no se están empleando.
Unas buenas prácticas para que cualquier usuario pueda protegerse en sus conexiones Wireless.
David Imizcoz Etxeberria
Manager de Consultoria Grupo S21sec Gestión S.A.
Análisis de binarios desde un lenguaje de alto nivel
Por norma general el lenguaje utilizado para el análisis de un programa ajeno compilado bajo windows ha sido el ensamblador, ya que partimos de que no disponemos del código fuente, pero hoy día tenemos herramientas muy potentes que nos permiten utilizar lenguajes de más alto nivel para realizar ciertas tareas.
Si tienes práctica en este tema, este post no te dirá nada nuevo, pero pretende motivar a aquellos que tienen curiosidad pero no se atreven por miedo al ensamblador. Que sepan que existen ayudas muy potentes a un nivel más alto.
A la hora de realizar un análisis estático, la herramienta por excelencia es IDA, que junto con su añadido Hex-rays nos puede proporcionar un desensamblado traducido a un lenguaje parecido a C, lo cual puede suponer un ahorro de tiempo bastante importante para alguien que quiera aplicar ingeniería inversa a un fichero.
Si lo que se pretende realizar en un análisis dinámico o en tiempo de ejecución, además de IDA se puede utilizar OllyDbg, un depurador gratuito y muy práctico, pero por ahora tan solo para ring3. El creador del mismo está trabajando en la versión 2.0 del mismo, que será capaz de trabajar en ring0.
También disponemos de Immunity Debugger, que viene a ser el OllyDbg con soporte para python, o podemos utilizar Windbg, un depurador que te permitirá hacer lo que quieras, siempre que sepas controlarlo.
Tenemos unas alternativas muy interesantes que nos permitirán analizar los ficheros desde python. Por un lado disponemos de pefile de mano de Ero Carrera (al que tuve el gusto de conocer en la última edición de la BlackHat: ¡¡un saludo!!) y pydbg dentro de la suite PaiMei que nos proporciona Pedram Amini. Estos aportes nos permite analizar un fichero ejecutable e incluso depurarlo desde python, de una manera muy práctica.
Al utilizar un lenguaje de programación interpretado como python, podremos utilizar scripts que automaticen la tarea o la consola para ir depurando y viendo como se encuentra nuestro pequeñín en cada momento.
Por ejemplo, si queremos saber el punto de entrada del programa (Entry Point) en memoria, con pefile podemos obtenerla de una manera muy sencilla con un script como el que sigue:
./ep.py arana.exe
0x401000L
Vemos que el resultado coincide con el EP que nos da, por ejemplo, OllyDbg:
Por supuesto, ningún lenguaje de alto nivel va a evitar que se necesite una sólida base en ensamblador y la estructura PE, pero esto no es problema, ya que el reverser por norma general tiende a ser más masoca que vago ;)
Mikel Gastesi
S21sec labs
Si tienes práctica en este tema, este post no te dirá nada nuevo, pero pretende motivar a aquellos que tienen curiosidad pero no se atreven por miedo al ensamblador. Que sepan que existen ayudas muy potentes a un nivel más alto.
A la hora de realizar un análisis estático, la herramienta por excelencia es IDA, que junto con su añadido Hex-rays nos puede proporcionar un desensamblado traducido a un lenguaje parecido a C, lo cual puede suponer un ahorro de tiempo bastante importante para alguien que quiera aplicar ingeniería inversa a un fichero.
Si lo que se pretende realizar en un análisis dinámico o en tiempo de ejecución, además de IDA se puede utilizar OllyDbg, un depurador gratuito y muy práctico, pero por ahora tan solo para ring3. El creador del mismo está trabajando en la versión 2.0 del mismo, que será capaz de trabajar en ring0.
También disponemos de Immunity Debugger, que viene a ser el OllyDbg con soporte para python, o podemos utilizar Windbg, un depurador que te permitirá hacer lo que quieras, siempre que sepas controlarlo.
Tenemos unas alternativas muy interesantes que nos permitirán analizar los ficheros desde python. Por un lado disponemos de pefile de mano de Ero Carrera (al que tuve el gusto de conocer en la última edición de la BlackHat: ¡¡un saludo!!) y pydbg dentro de la suite PaiMei que nos proporciona Pedram Amini. Estos aportes nos permite analizar un fichero ejecutable e incluso depurarlo desde python, de una manera muy práctica.Al utilizar un lenguaje de programación interpretado como python, podremos utilizar scripts que automaticen la tarea o la consola para ir depurando y viendo como se encuentra nuestro pequeñín en cada momento.
Por ejemplo, si queremos saber el punto de entrada del programa (Entry Point) en memoria, con pefile podemos obtenerla de una manera muy sencilla con un script como el que sigue:
import sys
import pefile
fichero = sys.argv[1]
pe = pefile.PE(fichero)
ep = pe.OPTIONAL_HEADER.AddressOfEntryPoint
imagebase = pe.OPTIONAL_HEADER.ImageBase
ep2 = ep + imagebase
print hex(ep2)
./ep.py arana.exe
0x401000L
Vemos que el resultado coincide con el EP que nos da, por ejemplo, OllyDbg:
Por supuesto, ningún lenguaje de alto nivel va a evitar que se necesite una sólida base en ensamblador y la estructura PE, pero esto no es problema, ya que el reverser por norma general tiende a ser más masoca que vago ;)
Mikel Gastesi
S21sec labs
Imagen, Video y Rock 'n' Roll
Actualmente podemos usar técnicas esteganográficas para ocultar datos nuestros dentro de multitud de archivos, siendo los más usados los archivos de imágenes. Existen muchas aplicaciones para hacerlo, una breve busqueda en vuestro buscador favorito os mostrará las más usadas. Se usan básicamente dos métodos:
El segundo ya es más complejo, y se basa en mezclar los datos de imagen, vídeo y/o audio con los nuestros. El archivo final pierde calidad si se sustituyen los datos del portador por los de los datos a ocultar, o gana en tamaño si se añaden. Éstos es lo que hacen la mayor parte, si no todas, las aplicaciones de esteganografía.
Seguro que ya estais pensado en las posibilidades de esta técnica para "hacer el mal". Lamentablemente para los que lo hayais pensado os diré que existen tantas técnicas para detectar que existe información escondida que actualmente da igual que escondáis ahí información. Si se está buscando, se encuentra, o al menos se detecta, y en muchos casos, se lee.
Eduardo Morrás
S21sec labs
- Ocultar la información como una parte del archivo
- Ocultar la información dentro de los datos del propio archivo
El segundo ya es más complejo, y se basa en mezclar los datos de imagen, vídeo y/o audio con los nuestros. El archivo final pierde calidad si se sustituyen los datos del portador por los de los datos a ocultar, o gana en tamaño si se añaden. Éstos es lo que hacen la mayor parte, si no todas, las aplicaciones de esteganografía.
Seguro que ya estais pensado en las posibilidades de esta técnica para "hacer el mal". Lamentablemente para los que lo hayais pensado os diré que existen tantas técnicas para detectar que existe información escondida que actualmente da igual que escondáis ahí información. Si se está buscando, se encuentra, o al menos se detecta, y en muchos casos, se lee.
Eduardo Morrás
S21sec labs
Lanzamiento BS 25999-2 en castellano
Ayer miércoles, 7 de Mayo, tuvo lugar en el Hotel Meliá Castilla de Madrid la presentación de la norma “BS 25999-2: Gestión de la Continuidad de negocio. La especificación”, en su versión en castellano.
El evento Organizado por la filial española del British Standars Institution (BSI) http://www.bsigroup.es/ contó para dicho evento con la presencia de diferentes ponentes expertos en materia de continuidad de negocio tanto del Business Continuity Institute (BCI) http://www.thebci.org/ , como de otras empresas de los sectores de la banca, formación o consultoría.
Esta norma va a permitir en adelante certificar la implantación de planes de continuidad de negocio contra la norma BS 25999- parte I de gran implantación en el mercado norteamericano, europeo y asiático.
Sin duda esta iniciativa ha tenido en consideración las demandas de varias entidades y empresas que venian solicitando la obtención de un sello de certificación, con reconocimiento en el mercado, que viniese a reconocer los esfuerzos desarrollados por las empresas en la implementación de sus estrategias de continuidad de negocio acorde a la BS 25999. Este Sistema aporta como mayor ventaja y según los creadores del estandar, la de incluir dentro de un proceso de mejora continua “PDCA” la gestión de la continuidad del negocio haciendo de este modo que el plan de continuidad del negocio al que este sistema se aplica este permanentemente actualizado y testado para el caso de la ocurrencia de un incidente o desastre.
La implementación de este sistema de gestión de continuidad de negocio va a permitir en primer lugar incrementar la resiliencia o “capacidad de aguante” de la organización ante la ocurrencia de una contingencia o desastre de la organización así como el poder garantizar en mayor medida una continuidad aceptable de las operaciones criticas de la organización para los casos de paradas prolongadas del servicio principal abaratando los costes de recuperación.
Otro tipo de ventajas de la implantacion de este sistema de gestión y la certificación del mismo son:
· Apoyo a la organización en el cumplimiento de los requerimientos regulatorios en materia de continuidad de negocio (LOPD, BASILEA II, SOX, Mfid, etc…)
· Obtención de un elemento competitivo diferenciador de la competencia
· Reducción de los esfuerzos y costes derivados de la ejecución de auditoria interna y de proveedores
· Permite obtener una justificación interna de los gatos realizados para su implantación
· Obtención de la confianza de los directivos, clientes, accionistas y resto de stakeholders en la "supervivencia" del negocio
Con tantas ventajas no cabe sino esperar que este estándar sea “adoptado” por la gente de ISO, como ya ha sucedido anteriormente con otros estándares que el BSI ha publicado en materia de seguridad (por todos es conocido el paso de BS 7799 a la ISO 17799, actual 27001), dando así una mayor visión internacional a esta solución de continuidad y “unificándose” así las distintas iniciativas que de carácter sectorial han implementado otras entidades o paises.
Cabe destacar en este sentido los comentarios de Agustín Lerma, Product Manager de la BS 25999 en España, quién dentro del acto de preesntación de la BS 25999-2, aseguró que en caso de darse una transición de la norma BS 25999 a ISO la misma se hará, como ha ocurrido en otros casos, de "forma tranquila" de tal forma que las empresas que hayan obtenido la certificación de BSI para sus planes de continuidad no resulten perjudicadas.
Hasta ahora esto solo es una posibilidad…
El evento Organizado por la filial española del British Standars Institution (BSI) http://www.bsigroup.es/ contó para dicho evento con la presencia de diferentes ponentes expertos en materia de continuidad de negocio tanto del Business Continuity Institute (BCI) http://www.thebci.org/ , como de otras empresas de los sectores de la banca, formación o consultoría.
Esta norma va a permitir en adelante certificar la implantación de planes de continuidad de negocio contra la norma BS 25999- parte I de gran implantación en el mercado norteamericano, europeo y asiático.
Sin duda esta iniciativa ha tenido en consideración las demandas de varias entidades y empresas que venian solicitando la obtención de un sello de certificación, con reconocimiento en el mercado, que viniese a reconocer los esfuerzos desarrollados por las empresas en la implementación de sus estrategias de continuidad de negocio acorde a la BS 25999. Este Sistema aporta como mayor ventaja y según los creadores del estandar, la de incluir dentro de un proceso de mejora continua “PDCA” la gestión de la continuidad del negocio haciendo de este modo que el plan de continuidad del negocio al que este sistema se aplica este permanentemente actualizado y testado para el caso de la ocurrencia de un incidente o desastre.
La implementación de este sistema de gestión de continuidad de negocio va a permitir en primer lugar incrementar la resiliencia o “capacidad de aguante” de la organización ante la ocurrencia de una contingencia o desastre de la organización así como el poder garantizar en mayor medida una continuidad aceptable de las operaciones criticas de la organización para los casos de paradas prolongadas del servicio principal abaratando los costes de recuperación.
Otro tipo de ventajas de la implantacion de este sistema de gestión y la certificación del mismo son:
· Apoyo a la organización en el cumplimiento de los requerimientos regulatorios en materia de continuidad de negocio (LOPD, BASILEA II, SOX, Mfid, etc…)
· Obtención de un elemento competitivo diferenciador de la competencia
· Reducción de los esfuerzos y costes derivados de la ejecución de auditoria interna y de proveedores
· Permite obtener una justificación interna de los gatos realizados para su implantación
· Obtención de la confianza de los directivos, clientes, accionistas y resto de stakeholders en la "supervivencia" del negocio
Con tantas ventajas no cabe sino esperar que este estándar sea “adoptado” por la gente de ISO, como ya ha sucedido anteriormente con otros estándares que el BSI ha publicado en materia de seguridad (por todos es conocido el paso de BS 7799 a la ISO 17799, actual 27001), dando así una mayor visión internacional a esta solución de continuidad y “unificándose” así las distintas iniciativas que de carácter sectorial han implementado otras entidades o paises.
Cabe destacar en este sentido los comentarios de Agustín Lerma, Product Manager de la BS 25999 en España, quién dentro del acto de preesntación de la BS 25999-2, aseguró que en caso de darse una transición de la norma BS 25999 a ISO la misma se hará, como ha ocurrido en otros casos, de "forma tranquila" de tal forma que las empresas que hayan obtenido la certificación de BSI para sus planes de continuidad no resulten perjudicadas.
Hasta ahora esto solo es una posibilidad…
La serpiente botnet
El otro día nos encontramos un panel de control nuevo que no es la típica modificación de uno de los conocidos que se pueden encontrar por Internet (tipo MPack, IcePack, FirePack, ZeuS, Apophis, ...). Todos estos para bien o para mal fueron publicados en ciertas webs de forma 'gratuita' y a partir de ellos han salido varias versiones nuevas.
Pero esta vez, nos sorprendió la imagen de la entrada, una serpiente que buscando en Internet parece ser una Taipán, la más venenosa del mundo, (espero que algún lector me corrija) pidiendo la autenticación de acceso al panel de control. El número de máquinas controladas no es mucho más que unas 8.000, pero nos sorprendió porque fue la primera vez que nos lo encontramos.
Realmente el panel de control no permite mandar órdenes del tipo DDoS a los zombies que posee, pero sí que permite enviar 'tareas' a los ordenadores infectados para que bajen nuevos ejecutables y los ejecuten, que es donde se encuentra la parte de los ataques. Además, utilizan una librería para la generación de gráficos JpGraph (que en este momento no funcionaba correctamente) donde si nos fijamos en su página, si el uso de la herramienta es comercial, es necesario comprar la licencia pro. ¿Podemos considerar, además, que el uso de un panel de control de una botnet es de carácter profesional/comercial? ¿Están incumpliendo la licencia de la librería?
Independientemente de las respuestas (que esperamos nos déis) el delito que están cometiendo es mucho mayor, y es un ejemplo más de la amenaza silenciosa de Internet. Desde la unidad de S21sec e-crime luchamos contra este tipo de amenazas, y además de todos los servicios relacionados con el e-crime, ofrecemos servicios de formación/concienciación/divulgación sobre este tipo de amenazas: qué son, cuáles existen, cómo funcionan, cómo puedo protegerme, etc.
David Barroso
S21sec e-crime
¿La privacidad y la seguridad no se llevan bien?
La polémica está servida con el reciente post publicado por Jesús Oquendo, defensor acérrimo de la privacidad. En él expone que la herramienta contra el malware de Microsoft, que se instala automáticamente con sus actualizaciones y que se anuncia como una excelente solución contra las botnets, podría verse como un backdoor. El programa en cuestión parece ser una herramienta de análisis remoto de los PCs sospechosos de estar infectados. Desde el punto de vista de la seguridad, desde luego, no tiene precio, ya que se accede remotamente al equipo para controlar los movimientos del malware existente en él, pero desde el punto de vista de la privacidad quizá tenga más puntos oscuros de lo que parece...Microsoft no ha detallado aún cómo trabaja exactamente su herramienta, ni a qué datos se tiene acceso, pero si el acceso es total estaríamos hablando de una puerta trasera instalada en cada uno de los equipos que usan Windows actualmente. Nadie puede negar que llegado a cierto punto, y en pro de la lucha antiterrorista, las agencias de seguridad y autoridades mundiales podrían acceder libremente a los contenidos de los usuarios. Todo depende del nivel de paranoia de cada uno, o eso dicen.
El tema de la seguridad contra la privacidad no es nuevo y se ha notado con más fuerza desde el fatídico 11S. Cada uno tiene su propia opinión sobre ello, y no es la primera vez tampoco que este tipo de polémicas saltan a la palestra, como hace unos días cuando a un investigador del protocolo GSM se le requisaron ciertos materiales cuando se dirigía al evento de seguridad HITBSecConf, o cuando a otro investigador se le denegó la entrada a Estados Unidos por razones similares cuando acudía a la BlackHat hace menos de un año. Está claro que es necesario un compromiso entre estos dos términos, aunque la historia reciente dice que la balanza se suele decantar hacia uno de los lados. ¿Es sólo paranoia de unos cuantos o realmente se producen atropellos en este ámbito? ¿seremos protagonistas del siguiente GH sin desearlo?
José Miguel Esparza
S21sec labs
El tema de la seguridad contra la privacidad no es nuevo y se ha notado con más fuerza desde el fatídico 11S. Cada uno tiene su propia opinión sobre ello, y no es la primera vez tampoco que este tipo de polémicas saltan a la palestra, como hace unos días cuando a un investigador del protocolo GSM se le requisaron ciertos materiales cuando se dirigía al evento de seguridad HITBSecConf, o cuando a otro investigador se le denegó la entrada a Estados Unidos por razones similares cuando acudía a la BlackHat hace menos de un año. Está claro que es necesario un compromiso entre estos dos términos, aunque la historia reciente dice que la balanza se suele decantar hacia uno de los lados. ¿Es sólo paranoia de unos cuantos o realmente se producen atropellos en este ámbito? ¿seremos protagonistas del siguiente GH sin desearlo?
José Miguel Esparza
S21sec labs
Seguridad analógica
Hoy vamos a escribir de algunos aspectos de la seguridad que a veces pasan inadvertidos. Para gestionar la seguridad de una infraestructura hay que tener en cuenta varios factores, como la seguridad perimetral, el cumplimiento de la normativa legal, la gestión de los elementos de seguridad o la prevención del fraude en caso de ofrecer servicios por internet.
Hay aspectos que no son puramente técnicos. Al final, las personas que usamos, administramos o tenemos acceso a una infraestructura que tiene cierta importancia, podemos ser el origen de una vulnerabilidad. Como muestra, una noticia de hace unos años, pero que ilustra lo que quiero mostrar. Más del 70% de la gente revelaría su contraseña a cambio de una chocolatina. Realmente preocupante, pero hay más casos en los que la falta de concienciación supone un riesgo para la seguridad, como este caso en el que un consultor deja memorias USB con malware por la oficina. Al poco tiempo, los empleados los cogen, miran su contenido e infectan sin querer su ordenador, enviando información sensible al exterior. Otro ejemplo es el empleado que desenchufa unos servidores por 10$ cortando el servicio. Un ataque frustrado muy conocido es el intento de robo a un importante banco internacional. Al parecer, los ladrones, haciéndose pasar por empleados de la limpieza instalaron pequeños keyloggers en los teclados de los ordenadores de los empleados.
¿Crees que podría pasar algo así en tu lugar de trabajo?
¿Qué harías si te encuentras o te regalan una memoria USB en el trabajo?
¿Qué acceso a instalaciones críticas tiene el personal de limpieza o de mantenimiento?
¿Has recibido formación relacionada con la seguridad?
Patxi Astiz
S21sec labs
Hay aspectos que no son puramente técnicos. Al final, las personas que usamos, administramos o tenemos acceso a una infraestructura que tiene cierta importancia, podemos ser el origen de una vulnerabilidad. Como muestra, una noticia de hace unos años, pero que ilustra lo que quiero mostrar. Más del 70% de la gente revelaría su contraseña a cambio de una chocolatina. Realmente preocupante, pero hay más casos en los que la falta de concienciación supone un riesgo para la seguridad, como este caso en el que un consultor deja memorias USB con malware por la oficina. Al poco tiempo, los empleados los cogen, miran su contenido e infectan sin querer su ordenador, enviando información sensible al exterior. Otro ejemplo es el empleado que desenchufa unos servidores por 10$ cortando el servicio. Un ataque frustrado muy conocido es el intento de robo a un importante banco internacional. Al parecer, los ladrones, haciéndose pasar por empleados de la limpieza instalaron pequeños keyloggers en los teclados de los ordenadores de los empleados.
¿Crees que podría pasar algo así en tu lugar de trabajo?
¿Qué harías si te encuentras o te regalan una memoria USB en el trabajo?
¿Qué acceso a instalaciones críticas tiene el personal de limpieza o de mantenimiento?
¿Has recibido formación relacionada con la seguridad?
Patxi Astiz
S21sec labs
Donde los scanners de vulnerabilidades no llegan - VI
Aplicaciones propietarias o poco conocidas
Departamento de Auditoría
La mayoría de los scanners se basan en bases de datos de vulnerabilidades predefinidas y donde habitualmente solo se cataloga el software utilizado de forma mayoritaria. Si analizamos un software propietario o poco común, el scanner no tiene patrones para trabajar.
Cuando un scanner encuentra un software o una aplicación que no conoce, simplemente se limita a ignorarlo. Esto hace que queden huecos bastantes importantes en la valoración del riesgo que realiza.
Como hemos comentado, hay scanners específicos para aplicaciones Web que intentan cubrir esta deficiencia, teniendo en cuenta que una gran parte de las aplicaciones Web existentes son de desarrollo propietario. Pero no existe el equivalente en el resto de servicios.
http://en.wikipedia.org/wiki/Web_Application_Security_Scanner
Esta limitación es similar a las de otro tipo de herramientas de seguridad basadas en patrones, por ejemplo los Antivirus. Si no existe una labor constante y exhaustiva de mejora y actualización de los patrones de detección el scanner se hace inútil.
Ramón PinuagaCuando un scanner encuentra un software o una aplicación que no conoce, simplemente se limita a ignorarlo. Esto hace que queden huecos bastantes importantes en la valoración del riesgo que realiza.
Como hemos comentado, hay scanners específicos para aplicaciones Web que intentan cubrir esta deficiencia, teniendo en cuenta que una gran parte de las aplicaciones Web existentes son de desarrollo propietario. Pero no existe el equivalente en el resto de servicios.
http://en.wikipedia.org/wiki/Web_Application_Security_Scanner
Esta limitación es similar a las de otro tipo de herramientas de seguridad basadas en patrones, por ejemplo los Antivirus. Si no existe una labor constante y exhaustiva de mejora y actualización de los patrones de detección el scanner se hace inútil.
Departamento de Auditoría
Suscribirse a:
Entradas (Atom)