Bueno, la verdad es que me da bastante vergüenza aparecer por estos lares con tanto compromiso incumplido desde hace tiempo. En mi descargo diré que la orientación a cliente tienes estas cosas, pero cumpliré aunque tardísimo con los compromisos.
De momento, y antes de entrar en faena, tan sólo unas líneas para comentar una noticia que me ha parecido interesante y curiosa.
El pasado mes de mayo hubo un grave problema de indisponibilidad sobre Internet en Holanda que tuvo fuera de juego por unos 4 días los servicios de acceso a Internet de unas varios cientos de miles de usuarios holandeses, bastantes de ellos del ISP XS4ALL.
De ello resultó la obligación legal de XS4ALL de indemnizar a aquellos de sus clientes afectados. Algo parecido a lo que en España tuvo que hacer Vodafone hace unos años debido a un corte en el servicio del que igual algunos os acordáis.
Pues bien, resulta que este ISP propuso a los usuarios afectados como vía alternativa al pago de las indemnizaciones que les correspondían la entrega de tales importes como donaciones de entre 3 instituciones a elegir: EDRi, Press Now y Amnistía Internacional.
Ello ha resultado en una donación de más de 15.000€ en favor de EDRi, e imagino que de unos cuantos contantes euros más para las otras dos instituciones. La verdad sigo el trabajo de EDRi desde hace bastante tiempo, pues permite estar a la vanguardia de asuntos legales básicos en materia de nuevas tecnologías y derechos y libertades fundamentales, especialmente me sirvió y me sirve en lo relativo a la conservación de datos de tráfico y localización de la que tanto he escrito en este blog. Razón por la que me alegro de esta donación. Tampoco me parecen de despreciar, y por tanto me alegro igualmente, las iniciativas de las otras dos instituciones.
Una buena forma de conseguir de un plumazo gestionar adecuadamente el impacto de un incidente de seguridad y demostrar responsabilidad social.
Tomo nota por si nos es necesario asesorar a nuestros clientes en el futuro próximo, cuando seguramente y gracias a las modificaciones en ciernes del paquete de Directivas de las Telecomunicaciones (aunque también vayan a afectar a los prestadores de servicios de la Sociedad de la Información) exista la obligación de notificar los incidentes de seguridad de la información.
Una muy buena decisión de gobierno de la seguridad de la información, sí señor.
Álvaro Del Hoyo
Departamento de Consultoría
IRM: Nuevas medidas para el conflicto de siempre.
Durante los últimos veinte siglos (década arriba, década abajo) una parte importante de la población mundial, especialmente en occidente, se maravillaba con aquello de que un hombre en galilea diera de comer a 5000 tíos con cinco panes y dos peces. No les podía entrar en la cabeza.
Si se lo tuviera que explicar hoy a mi sobrino, sería bastante fácil: “Es que hizo un copy-paste”.
En la imagen se aprecia claramente como la mano izquierda está en posición CTRL+V
Es sencillo si uno entiende lo que el evangelista está queriendo expresar de fondo: de este único mensaje pueden alimentarse tantas personas como haga falta.
Y tiene sentido porque es una de las características esenciales de la información: lo fácil que es multiplicarla. Conforme el ser humano se ha ido dado cuenta del “milagro” ha ido poniendo medios. Desde la imprenta de Gutemberg hasta las redes de ordenadores. Porque una red de ordenadores, en definitiva, es exactamente eso: una estructura creada para compartir información, recursos y servicios.
El conflicto llega cuando chocamos con la gran religión de nuestro tiempo: el capitalismo.
John Locke, uno de los padres del liberalismo, dice que el los derechos naturales del hombre son tres: la vida, la libertad y la propiedad. Todo eso de importante es la propiedad –privada, se entiende- por lo que parece.
¿Y cómo puede garantizarse el derecho a la propiedad en una estructura que está construida por y para compartir y en la que, desde luego, no faltan los amigos de lo ajeno?
Pues de muchas maneras. Pero hoy me gustaría hablar de una en concreto: los sistemas IRM (Information Rights Managament) o E-DRM (Enterprise – Digital Rights Management).
Entre los principales actores de esta tecnología se encuentran varios de los gigantes del sector lo cual da una idea de las posibilidades de negocio que existen.
Estos sistemas, derivan de los polémicos sistemas DRM, que la industria basada en el copyright desarrolló durante la última década. La diferencia principal consiste en que no están pensados para proteger información “de consumo” como música o películas, sino aquella que una compañía necesita para el desarrollo de su actividad: documentos, hojas de cálculo, planos, correos electrónicos…
Por lo tanto, es necesario permitir que se realicen cambios, ajustar dinámicamente los privilegios mediante diferentes políticas e incluso llevar un registro del uso que se ha hecho de ellos por parte de cada usuario.
Aunque la protección de la información -como en DRM- se debe a mecanismos de cifrado, en la mayor parte de las soluciones, es necesaria la conexión de un servidor remoto que autentique a los usuarios, gestione las políticas de seguridad y almacene los registros. Es decir, no sólo se le pone un candado a la información, sino que controlamos su comportamiento con un mando a distancia.
Funciones como la impresión del documento o hacer una captura de pantalla a menudo pueden desactivarse. E incluso al hacer un copy-paste de la información en sí, hace que los documentos nuevos hereden las propiedades de seguridad de los antiguos. (Y quizá esto sí me costaría explicárselo a mi sobrino).
Estas tecnologías están ya bastante desarrolladas y todo apunta a que seguirán haciéndolo. Sin embargo, el problema del “agujero analógico” nunca podrá obviarse. Si alguien puede llegar a leer un documento (y siempre habrá alguien que pueda hacerlo, ya que la información está para ser compartida), es porque esa información ha sido reconvertida a analógica en algún momento.
Como la luz que emite la pantalla en la que estás leyendo este post
…y que una cámara de fotos puede perfectamente registrar.
Si se lo tuviera que explicar hoy a mi sobrino, sería bastante fácil: “Es que hizo un copy-paste”.
En la imagen se aprecia claramente como la mano izquierda está en posición CTRL+V Y tiene sentido porque es una de las características esenciales de la información: lo fácil que es multiplicarla. Conforme el ser humano se ha ido dado cuenta del “milagro” ha ido poniendo medios. Desde la imprenta de Gutemberg hasta las redes de ordenadores. Porque una red de ordenadores, en definitiva, es exactamente eso: una estructura creada para compartir información, recursos y servicios.
El conflicto llega cuando chocamos con la gran religión de nuestro tiempo: el capitalismo.
John Locke, uno de los padres del liberalismo, dice que el los derechos naturales del hombre son tres: la vida, la libertad y la propiedad. Todo eso de importante es la propiedad –privada, se entiende- por lo que parece.
¿Y cómo puede garantizarse el derecho a la propiedad en una estructura que está construida por y para compartir y en la que, desde luego, no faltan los amigos de lo ajeno?
Pues de muchas maneras. Pero hoy me gustaría hablar de una en concreto: los sistemas IRM (Information Rights Managament) o E-DRM (Enterprise – Digital Rights Management).
Entre los principales actores de esta tecnología se encuentran varios de los gigantes del sector lo cual da una idea de las posibilidades de negocio que existen.
Estos sistemas, derivan de los polémicos sistemas DRM, que la industria basada en el copyright desarrolló durante la última década. La diferencia principal consiste en que no están pensados para proteger información “de consumo” como música o películas, sino aquella que una compañía necesita para el desarrollo de su actividad: documentos, hojas de cálculo, planos, correos electrónicos…
Por lo tanto, es necesario permitir que se realicen cambios, ajustar dinámicamente los privilegios mediante diferentes políticas e incluso llevar un registro del uso que se ha hecho de ellos por parte de cada usuario.
Aunque la protección de la información -como en DRM- se debe a mecanismos de cifrado, en la mayor parte de las soluciones, es necesaria la conexión de un servidor remoto que autentique a los usuarios, gestione las políticas de seguridad y almacene los registros. Es decir, no sólo se le pone un candado a la información, sino que controlamos su comportamiento con un mando a distancia.
Funciones como la impresión del documento o hacer una captura de pantalla a menudo pueden desactivarse. E incluso al hacer un copy-paste de la información en sí, hace que los documentos nuevos hereden las propiedades de seguridad de los antiguos. (Y quizá esto sí me costaría explicárselo a mi sobrino).
Estas tecnologías están ya bastante desarrolladas y todo apunta a que seguirán haciéndolo. Sin embargo, el problema del “agujero analógico” nunca podrá obviarse. Si alguien puede llegar a leer un documento (y siempre habrá alguien que pueda hacerlo, ya que la información está para ser compartida), es porque esa información ha sido reconvertida a analógica en algún momento.
Como la luz que emite la pantalla en la que estás leyendo este post
…y que una cámara de fotos puede perfectamente registrar.
Luis Tarrafeta
S21sec labs
Técnicas de ocultación: Redes Fast-Flux
Fast-Flux es un concepto que ya ha aparecido en anteriores posts y cada vez se escucha mas en entornos de seguridad informática, más concretamente relacionado con delitos informáticos.
Básicamente las redes Fast-Flux son redes formadas por equipos comprometidos a los que apuntan los registros DNS de un determinado dominio y actúan como proxy entre los clientes y los servidores donde se almacena el contenido.
El objetivo de estas redes es la asignación de múltiples (cientos incluso miles) de direcciones IPs a un determinado dominio. Estas direcciones IPs van intercambiándose continuamente mediante la asignación de un TTL (Time-to-Live) muy corto al registro DNS (RR) del dominio. La rotación entre las direcciones IP, puede venir dada por algoritmos sencillo como Round-Robin o por implementaciones mas complejas en las que intervienen parámetros como el ancho de banda, uso de red, saltos entre puntos finales etc.
Dentro de estas redes, encontramos dos tipos, single-flux y double-flux.
Las redes Single-flux, es la implementación más sencilla. Cuando una víctima intenta acceder a un determinado dominio, la respuesta del DNS se corresponde con una dirección IP de los equipos infectados, que varían continuamente, que capturarán la petición del cliente y serán ellos quien negocien con el servidor donde se aloja el contenido. A pesar de que en general esta técnica se aplica al tráfico HTTP, indistintamente podría utilizarse con cualquier conexión tipo TCP o UDP.
Por otro lado las redes Double-flux mantienen el concepto de las Single-flux pero añadiendo una capa más de redundancia. En este tipo de implementaciones, además de variar los registros A del DNS para que un mismo dominio resuelva direcciones IP diferentes, también varían los registros NS correspondientes a los servidores DNS autorizados. Por tanto, en este caso, las peticiones DNS de las víctimas son respondidas directamente por la red Fast-Flux.
¿Cuales son las ventajas que obtienen los atacantes, mediante este tipo de arquitecturas?
- Simplicidad. Los atacantes necesitaran menos infraestructura, además de ahorrar tiempo en mantenimiento, ya que antes sus servidores centrales estaban en primera linea y eran fácilmente identificables, con lo que necesitaban grandes recursos si querían perdurar.
- Protección ante investigaciones. Al existir una o varias capas mas de conexión, es difícil rastrear las huellas y llegar a los servidores centrales. Además de que habitualmente los equipos infectados se encuentran repartidos por multitud de países con jurisprudencias diferentes y configurados con las auditorías desactivadas para no dejar evidencias.
- Extensión de la vida de la estafa. El dinamismo de la red, unido a las diferentes capas de conexionado tras las que se ocultan los servidores centrales donde se aloja el contenido, hacen que todo el proceso de identificación y corte del servicio sea mucho mas costoso y por tanto mucho más largo.
Para comprobar que este tipo de técnicas es muy habitual, rebuscando en un par de mensajes en la carpeta de Spam me he encontrado con el siguiente dominio "XXXXX.ncspan.com.cn", el cual en un intervalo de apenas 5 minutos, las respuestas DNS han sido las siguientes:
Respuesta 1:
Respuesta 2:
Como se puede apreciar, el TTL asignado es muy pequeño (180 segundos) y las respuestas van variando una vez caducado el tiempo de vida. Además todas la mayoría de las direcciones IP se corresponde con líneas ADSL de ISPs.
Por último y a modo de test, ¿A qué tipo de red Fast-Flux se corresponde el ejemplo?
Jonathan Barajas
Básicamente las redes Fast-Flux son redes formadas por equipos comprometidos a los que apuntan los registros DNS de un determinado dominio y actúan como proxy entre los clientes y los servidores donde se almacena el contenido.
El objetivo de estas redes es la asignación de múltiples (cientos incluso miles) de direcciones IPs a un determinado dominio. Estas direcciones IPs van intercambiándose continuamente mediante la asignación de un TTL (Time-to-Live) muy corto al registro DNS (RR) del dominio. La rotación entre las direcciones IP, puede venir dada por algoritmos sencillo como Round-Robin o por implementaciones mas complejas en las que intervienen parámetros como el ancho de banda, uso de red, saltos entre puntos finales etc.
Dentro de estas redes, encontramos dos tipos, single-flux y double-flux.
Las redes Single-flux, es la implementación más sencilla. Cuando una víctima intenta acceder a un determinado dominio, la respuesta del DNS se corresponde con una dirección IP de los equipos infectados, que varían continuamente, que capturarán la petición del cliente y serán ellos quien negocien con el servidor donde se aloja el contenido. A pesar de que en general esta técnica se aplica al tráfico HTTP, indistintamente podría utilizarse con cualquier conexión tipo TCP o UDP.
Por otro lado las redes Double-flux mantienen el concepto de las Single-flux pero añadiendo una capa más de redundancia. En este tipo de implementaciones, además de variar los registros A del DNS para que un mismo dominio resuelva direcciones IP diferentes, también varían los registros NS correspondientes a los servidores DNS autorizados. Por tanto, en este caso, las peticiones DNS de las víctimas son respondidas directamente por la red Fast-Flux.
¿Cuales son las ventajas que obtienen los atacantes, mediante este tipo de arquitecturas?
- Simplicidad. Los atacantes necesitaran menos infraestructura, además de ahorrar tiempo en mantenimiento, ya que antes sus servidores centrales estaban en primera linea y eran fácilmente identificables, con lo que necesitaban grandes recursos si querían perdurar.
- Protección ante investigaciones. Al existir una o varias capas mas de conexión, es difícil rastrear las huellas y llegar a los servidores centrales. Además de que habitualmente los equipos infectados se encuentran repartidos por multitud de países con jurisprudencias diferentes y configurados con las auditorías desactivadas para no dejar evidencias.
- Extensión de la vida de la estafa. El dinamismo de la red, unido a las diferentes capas de conexionado tras las que se ocultan los servidores centrales donde se aloja el contenido, hacen que todo el proceso de identificación y corte del servicio sea mucho mas costoso y por tanto mucho más largo.
Para comprobar que este tipo de técnicas es muy habitual, rebuscando en un par de mensajes en la carpeta de Spam me he encontrado con el siguiente dominio "XXXXX.ncspan.com.cn", el cual en un intervalo de apenas 5 minutos, las respuestas DNS han sido las siguientes:
Respuesta 1:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28700
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;XXXXX.ncspan.com.cn. IN A
;; ANSWER SECTION:
XXXXX.ncspan.com.cn. 180 IN CNAME ncspan.com.cn.
ncspan.com.cn. 180 IN A 98.215.104.X
ncspan.com.cn. 180 IN A 190.188.149.X
ncspan.com.cn. 180 IN A 212.8.35.X
ncspan.com.cn. 180 IN A 24.31.138.X
Respuesta 2:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28700
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;XXXXX.ncspan.com.cn. IN A
;; ANSWER SECTION:
XXXXX.ncspan.com.cn. 176 IN CNAME ncspan.com.cn.
ncspan.com.cn. 176 IN A 125.178.242.X
ncspan.com.cn. 176 IN A 62.201.79.X
ncspan.com.cn. 176 IN A 82.114.222.X
ncspan.com.cn. 176 IN A 82.119.135.X
ncspan.com.cn. 176 IN A 89.133.54.X
ncspan.com.cn. 176 IN A 89.156.145.X
Como se puede apreciar, el TTL asignado es muy pequeño (180 segundos) y las respuestas van variando una vez caducado el tiempo de vida. Además todas la mayoría de las direcciones IP se corresponde con líneas ADSL de ISPs.
Por último y a modo de test, ¿A qué tipo de red Fast-Flux se corresponde el ejemplo?
Jonathan Barajas
Sistemas de ficheros y cifrado
El mes pasado escribíamos sobre cómo un algoritmo que es utilizado para maximizar la vida útil de las memorias flash supone una merma en la seguridad de la información que reside en ella.
Por no querer hacerlo demasiado extenso, obvié otro asunto que también implica que nuestros datos puedan permanecer a la vista aunque hayamos sobreescrito los bloques donde estaban almacenados. Hablo del journal o bitácora de los sistemas de ficheros, un mecanismo gracias al cual es posible recuperar con mayor probabilidad de éxito unos datos que pudieran estar siendo escritos en un medio de almacenamiento al cortarse la corriente.
Este mecanismo supone una evolución sobre los sistemas de ficheros tradicionales, y consta de una zona de metadatos donde es almacenada la información a escribir en forma de transacciones que son ejecutadas de forma periódica y asíncrona, y que no están en la zona de bloques a donde apuntan los inodos o la tabla de ficheros maestra. De este modo, al llevar a cabo un borrado profundo (sobreescribiendo los bloques donde están los datos) es probable que queden restos de datos en la zona de bitácora del sistema de ficheros.
¿Y qué remedio existe? Prescindir de las bitácoras de los sistemas de ficheros, o bien cifrar la información. Aprovecho para hacer mención de un artículo donde se comenta que los discos parcialmente cifrados (esto es, cifrados en ficheros almacén, o particiones/volumenes sueltos) pueden dejar a la luz información sensible.
Nada nuevo en realidad, ya que los ficheros y particiones de paginación siempre han guardado información de forma temporal (ya será sobreescrita), y lo normal es que el sistema operativo no se haga cargo de limpiar las zonas que ya no sea necesario mantener en disco. Se comenta otro problema, el uso de herramientas de búsqueda rápida tipo Google Desktop que lo que hacen es hacer un índice de nuestros datos, aunque muchas veces se quedan con más información de la deseable en una zona del disco distinta de nuestro almacén cifrado.
¿Y nuevamente, qué remedio existe? Usar cifrado completo de disco (FDE) del que ya hemos hablado en el Blog (por ejemplo Truecrypt 6.0 es una opción válida y económica ;). Aun así, que sea realmente F (full), ya que de otro modo nos podrían alterar nuestro kernel para hacer lo que deseen.
Álvaro Ramón
S21sec labs
Por no querer hacerlo demasiado extenso, obvié otro asunto que también implica que nuestros datos puedan permanecer a la vista aunque hayamos sobreescrito los bloques donde estaban almacenados. Hablo del journal o bitácora de los sistemas de ficheros, un mecanismo gracias al cual es posible recuperar con mayor probabilidad de éxito unos datos que pudieran estar siendo escritos en un medio de almacenamiento al cortarse la corriente.
Este mecanismo supone una evolución sobre los sistemas de ficheros tradicionales, y consta de una zona de metadatos donde es almacenada la información a escribir en forma de transacciones que son ejecutadas de forma periódica y asíncrona, y que no están en la zona de bloques a donde apuntan los inodos o la tabla de ficheros maestra. De este modo, al llevar a cabo un borrado profundo (sobreescribiendo los bloques donde están los datos) es probable que queden restos de datos en la zona de bitácora del sistema de ficheros.
¿Y qué remedio existe? Prescindir de las bitácoras de los sistemas de ficheros, o bien cifrar la información. Aprovecho para hacer mención de un artículo donde se comenta que los discos parcialmente cifrados (esto es, cifrados en ficheros almacén, o particiones/volumenes sueltos) pueden dejar a la luz información sensible.
Nada nuevo en realidad, ya que los ficheros y particiones de paginación siempre han guardado información de forma temporal (ya será sobreescrita), y lo normal es que el sistema operativo no se haga cargo de limpiar las zonas que ya no sea necesario mantener en disco. Se comenta otro problema, el uso de herramientas de búsqueda rápida tipo Google Desktop que lo que hacen es hacer un índice de nuestros datos, aunque muchas veces se quedan con más información de la deseable en una zona del disco distinta de nuestro almacén cifrado.
¿Y nuevamente, qué remedio existe? Usar cifrado completo de disco (FDE) del que ya hemos hablado en el Blog (por ejemplo Truecrypt 6.0 es una opción válida y económica ;). Aun así, que sea realmente F (full), ya que de otro modo nos podrían alterar nuestro kernel para hacer lo que deseen.
Álvaro Ramón
S21sec labs
S-C-A-D-A
En alguna que otra ocasión nos hemos hecho eco de noticias relacionadas con incidentes de seguridad en sistemas SCADA. Además,
Los SCADA son sistemas de control de supervisión y de adquisición de datos empleados en la distribución de gas, electricidad, aguas, datos (comunicaciones), petróleo y derivados, etc. Es decir, se trata de sistemas que permiten supervisar desde una estación central lo que ocurre en distintos sitios estratégicos de una red de distribución y tomar acciones, bien automáticas o bien manuales, que permitan ajustar los parámetros del proceso controlado; Ej. Regular las válvulas que controlan el flujo de gas a través de un gaseoducto para ajustarse a la demanda instantánea de los clientes.
Como podréis imaginar, no todo los procesos de control se centran en la distribución, sino que también existe control y adquisición de datos en procesos de producción y fabricación (generación de electricidad, alimentos elaborados, depuración de aguas, refino de crudo, fabricación de automóviles, etc.). Éstos se realizan a través de sistemas de control distribuidos (DCS) o directamente con solo un PLC. Ahora cabe preguntarse: ¿existe alguna relación entre estos sistemas de control y los SCADA? En realidad sí. De hecho, un SCADA no es más que una capa de gestión en un nivel superior que por debajo utiliza estos sistemas de control a nivel local en lo que se conocen como estaciones remotas o de campo.
Por lo tanto podemos resumir y deducir lo siguiente:
- Los SCADA engloban a otras tecnologías de control (PLC, DCS, IED, etc.) y aportan un nivel de control de supervisión que los hace aptos en procesos de distribución.
- Es por tanto lógico que los SCADA sean sistemas que se extiendan a lo largo de amplias zonas geográficas, mientras que los DCS y PLC suelen quedar confinados a la planta de producción o a lo sumo a la fábrica en la que ésta se localiza.
- En consecuencia, precisarán de tecnologías de telecomunicación que permitan acortar, a nivel lógico, estas largas distancias: líneas alquiladas, Internet + VPN, radioenlaces punto-punto, redes WAN propias, etc.
- Además, muchas de las estaciones remotas que realizan control a nivel local, son difícilmente accesibles y por tanto resulta habitual encontrar que éstas tienen acceso remoto para su mantenimiento.
En este enlace se puede encontrar un applet de Java que simula un sistema SCADA y que permite entender intuitivamente lo comentado anteriormente. En este caso, los distintos elementos de control local se comunican a través de enlaces de radio y controlan el nivel de agua almacenada en dos tanques.
A la hora de proporcionar seguridad a los SCADA nos interesa saber, el tipo de dispositivos y el HW y SW que utilizan, los protocolos de comunicaciones empleados, los mecanismos de seguridad que implementan, los puntos de entrada al sistema, las particularidades a nivel de políticas y procedimientos, los posibles impactos que la explotación de una vulnerabilidad puede tener, etc.
Como podéis imaginar se trata de un vasto área de conocimiento que no se puede cubrir ni en una ni en varias entradas como ésta. Sin embargo, intentaré al menos dar unas pequeñas pinceladas a lo largo las próximas semanas, eso sí, sin olvidarme de la seguridad de los protocolos de enrutamiento ;).
Elyoenai Egozcue
S21sec labs
To exploit or not to exploit
Estos días en la lista de correo Dailydave hay un hilo abierto que me parece bastante interesante. Comenzó con el anuncio de una nueva certificación por parte de los chicos de Immunity, llamada Network Offense Professional (NOP), y que estará disponible en la DEFCON del mes que viene en Las Vegas. Ésta consistirá en la búsqueda y explotación de una vulnerabilidad en un software dado ejecutado en un Windows 2000, desde cero y con limite de tiempo. Se anunció de forma que parecía que todo pentester que se precie debería poder superarla y tener conocimientos del tema para dar garantías a sus clientes, y es aquí donde algunos no estaban del todo de acuerdo.
La discusión, que todavía está viva, se puede resumir en si es realmente necesario saber explotar una vulnerabilidad y ejecutar código en la máquina remota para realizar una buena auditoría. Personalmente creo que, aunque no sea del todo necesario llegar a la ejecución de código, los conocimientos que se adquieren con la explotación de vulnerabilidades deja una base de experiencia que a la postre garantizará la confianza en el auditor. Os animo a que leáis el hilo completo y nos dejéis vuestras impresiones al respecto.
Jose Miguel Esparza
S21sec labs
La discusión, que todavía está viva, se puede resumir en si es realmente necesario saber explotar una vulnerabilidad y ejecutar código en la máquina remota para realizar una buena auditoría. Personalmente creo que, aunque no sea del todo necesario llegar a la ejecución de código, los conocimientos que se adquieren con la explotación de vulnerabilidades deja una base de experiencia que a la postre garantizará la confianza en el auditor. Os animo a que leáis el hilo completo y nos dejéis vuestras impresiones al respecto.
Jose Miguel Esparza
S21sec labs
¿Navegamos seguros o navegamos sin seguro?
Los navegadores web son actualmente la mayor atracción de los cibercriminales para acometer sus ataques según el último informe del ETH Zurich (Instituto tecnológico de Zurich), exponiendo además que este riesgo es sólo la punta de un iceberg. Este cambio de paradigma respecto a épocas anteriores donde los principales objetivos eran explotar vulnerabilidades en servidores para acceder a ellos, parece deberse a 2 factores principales:
- Actualmente todo está conectado, y el navegador web es la plataforma que maneja todos los datos del usuario y empresa. Después de todo, los datos son uno de los principales objetivos de los cibercriminales. Por ello, los navegadores web se han convertido en la mejor elección para explotar vulnerabilidades. Donde ayer había buffer overflows, hoy son XSS que no debes subestimar.
- Los ataques drive-by download característicos contra los navegadores web y en general cualquier vulnerabilidad de aplicación web del Top 10 2007 de la Owasp, (próximamente en castellano), poco tienen que ver con los privilegios del usuario.
Mientras tanto, la guerra de navegadores web sigue, IE con una cuota de uso del 78% frente al 16% de Firefox (pese al record Guiness de descarga en 24 horas). Ambos han hecho importantes mejoras en cuanto a la experiencia de seguridad del usuario en la web, y mientras todo apunta que IE8 introducirá nuevas técnicas de protección contra las amenazas actuales, y otros se lo toman con cierta ironía, son muchas las voces indicando que estos esfuerzos de los navegadores son en vano ya que, no mitigan los daños, los ocultan. La raíz de todo ello pasa por la educación en seguridad de los programadores de aplicaciónes web, punto donde la owasp dedica sus mayores esfuerzos.
No obstante, ante tal situación, ir por la web con un navegador no actualizado es un llamamiento a todo tipo de especímenes y al desastre. Las prácticas ya de sobra conocidas de mantener el software actualizado, especialmente el software de navegación, hoy día se convierte en nuestro seguro más preciado.
Emilio Casbas
S21sec labs
Emilio Casbas
S21sec labs
Homer Simpson es malicioso
En uno de los episodios de la temporada 14 de los Simpsons (2002), con título "El padre que sabía demasiado poco", Homer revela que su dirección de correo electrónico es chunkylover53@aol.com. De hecho, la dirección realmente fue registrado por uno de los productores y respondía todos los correos que se recibían en esa cuenta como si fuera el mismo Homer.Como todas las cuentas de AOL, son no sólo cuentas de correo, sino también cuentas de mensajería instantánea (al igual que Yahoo o Hotmail). Y parece ser que durante estos días hay una serie de cuentas en AOL que pretenden ser Chunkylover53 para intentar infectar a la gente con un código malicioso, con el siguiente mensaje:
’CHECK OUT THE NEW SIMPSONS EPISODE THAT WE’RE ONLY RELEASING TO THE INTERNET AIM FANS! BE THE FIRST TO EXPERIENCE THE MAGIC BY CLICKING THE FOLLOWING LINK: http://XXXLa verdad es que tiene mérito aprovecharse de un detalle en un episodio de los Simpson para intentar infectar masivamente. Hemos visto recientemente utilizar cualquier motivo (San Valentín, el 4 de Julio, un desastre, los juegos olímpicos, el europeo de futból, etc.) y seguiremos viendo motivos cada vez más realistas, porque no nos engañemos, el eslabón más débil somos nosotros.
SELECT RUN, (or RUN from current location) OR save to DESKTOP and DOUBLE CLICK!
ENJOY, AND SEND US YOUR FEEDBACK!‘
PD: aunque en un principio se comentó que se estaban lanzando los mensajes desde la cuenta chunkylover53@aol.com, realmente se están usando cuentas aleatorias y luego utilizando el nombre de Chunkylover53.
PD2: el binario que intenta infectar es una variante del Turkojan, un troyano turco de pago que no es muy frecuente encontrar en ataques relacionados con el fraude, sino más bien en casos aislados de gente interesada en el robo de información.
David Barroso
S21sec e-crime
Reto 5
Tras una larga pausa, y haciendo caso a los comentarios de Trancek y chesco en el Call for Comments publicado hace unos días volvemos a la carga con un reto, esta vez un pelín diferente.
Para seguir con la costumbre, regalaremos un libro a la "mejor" solución. En este caso hemos elegido "Hacking: The Art of Exploitation, 2nd Edition", de Jon Erickson.
Valoraremos que se nos indique la solución y el camino que ha llevado a ella, pero también las pruebas realizadas y que se plasmen los distintos pensamientos, ideas, etc. Intentaremos consensuarlo entre un jurado formado por varias personas para tratar de ser objetivos y que no haya quejas en este sentido.
Por si sirve de ayuda en algún momento, una pista consiste en saber que soy un buen chico, sin mala intención, y que no me enfado ni levanto la voz fácilmente ;)
Como siempre, enviad las soluciones a labs@s21sec.com
Mikel Gastesi
S21sec labs
PD: No, no se me ha olvidado publicar el reto
Para seguir con la costumbre, regalaremos un libro a la "mejor" solución. En este caso hemos elegido "Hacking: The Art of Exploitation, 2nd Edition", de Jon Erickson.
Valoraremos que se nos indique la solución y el camino que ha llevado a ella, pero también las pruebas realizadas y que se plasmen los distintos pensamientos, ideas, etc. Intentaremos consensuarlo entre un jurado formado por varias personas para tratar de ser objetivos y que no haya quejas en este sentido.Por si sirve de ayuda en algún momento, una pista consiste en saber que soy un buen chico, sin mala intención, y que no me enfado ni levanto la voz fácilmente ;)
Como siempre, enviad las soluciones a labs@s21sec.com
Mikel Gastesi
S21sec labs
PD: No, no se me ha olvidado publicar el reto
La Vulnerabilidad de los Servidores DNS
Durante el día de hoy está apareciendo en todo tipo de medios la noticia de la vulnerabilidad descubierta por Dan Kaminsky inherente al protocolo DNS y presente el todos los servidoresy resolvedores de DNS existentes en Internet (a excepción del genial djbdns de Daniel J. Bernstein de donde sale la idea de los puertos origen aleatorios). En principio, al usar djbdns esta características, es francamente difícil realizar ataques de cache poisoning puesto que hay que saber combinar no sólo el transaction id, sino también el puerto origen, aunque no es imposible (existen cerca de un billón de combinaciones).
La vulnerabilidad que aparece en los medios hoy, se trata también de una vulnerabilidad que podría utilizarse para realizar ataques de cache poisoning (DNS spoofing). Básicamente consiste en forzar las respuestas de un servidor o resolvedor DNS para que devuelva la dirección IP que se quiera en vez de la dirección IP real. Este tipo de ataques ya fue observado en 1993 en un artículo llamado 'Addressing Weaknesses in the Domain Name System Protocol' y posteriormente durante los años siguientes han aparecido varias vulnerabilidades parecidas generalmente relacionadas con problemas de generación de números aleatorios. Uno de estos más ataques más famoso ha sido debido a la Paradoja del Cumpleaños, pero realmente ha habido algunos más.
En este caso, todavía no se conocen los detalles de la vulnerabilidad, pero el CERT norteamericano es claro en un aspecto: la única solución válida para evitar la vulnerabilidad es usar DNSSEC, una extensión al protocolo DNS que lleva muchos años disponible pero no ha tenido mucho éxito su implementación. Aún así, han salido varios parches que mitigan en parte la vulnerabilidad, pero no la eliminan por completo, con lo que hay que tener cuidado a la hora de actualizar los servidores DNS y analizar las consecuencias. El descubridor de la vulnerabilidad publicará los detalles de la vulnerabilidad el próximo 7 de Agosto en la BlackHat de las Las Vegas, aunque ya se ha adelantado que tiene que ver con problemas de aletoriedad del transaction id. Esperemos que no sea (como a veces ha pasado) una vulnerabilidad anunciada a bombo y platillo de la que luego se demuestra que no es tan grave como parece.
ISC (creadores del Bind) reconocen que los parches que han sacado pueden afectar al rendimiento de los servidores DNS, por lo que es importante analizar bien las consecuencias como se ha comentado anteriormente, y lo que recomiendan es pasarse a DNSSEC (presentación rápida).
El propio descubridor ha puesto en su página una pequeña herramienta que comprueba si un servidor DNS es vulnerable o no.
En resumen, habrá que esperar a ver en qué consiste esta nueva vulnerabilidad (y esperar también la respuesta de todos los fabricantes de software con sus actualizaciones). Está claro que si existe esa vulnerabilidad y es relativamente fácil de explotar, las posibilidades son inmensas en Internet: phishing, infecciones, robos de credenciales, defacements, ... pero hasta que no se sepa verdaderamente el alcance, y puesto que se ha comentado que no se está utilizando esta vulnerabilidad in the wild, tenemos que ser cautelosos.
Más información sobre los fabricantes afectados en la página del US CERT. Es importante recalcar que no sólo afecta a los servidores DNS, sino a cualquier otro elemento que reenvíe, cachee o resuelva peticiones DNS (resolvedores en este post)
Actualización (10/07/2008 11:52): parece que la vulnerabilidad no es la típica de siempre y que realmente puede ser grave. Paul Vixie, una persona mítica en Internet (empezó a desarrollar Bind en 1988, entre otras cosas), parece que conoce los detalles de la vulnerabilidad y ha comentado que realmente no es la misma vulnerabilidad de siempre y que realmente es grave (de hecho en el año 95 publicó un paper donde hablaba de la ya consabida vulnerabilidad). También existe ahora un script en perl que hace lo mismo que al conectarnos a la página de Dan Kamisky. Después de analizar los pocos datos que existen en Internet, está claro que es un vulnerabilidad relacionada a tres hechos: usar generalmente UDP (por lo fácil que es spoofear una dirección IP origen), utilizar 16 bits para el transaction id, y no utilizar puertos UDP origen aleatorios. Realmente estos tres hechos siempre han sido los causantes de las diferentes vulnerabilidades que se han comentado desde el 95, por lo que tendremos que seguir esperando hasta el 7 de Agosto. S21sec estará en Las Vegas para informar in situ de los detalles.
David Barroso
S21sec e-crime
Analizando el punto más débil
Esta vez voy a analizar el punto más débil en la cadena de la seguridad. Todos sabemos de que se trata y la cantidad de formas que hay para saltarse sus protecciones que hemos puesto y con arduo sudor configurado.
De las múltiples formas de atacar a este punto débil la más sencilla es usar este raro ejemplar de troyano escrito en javascript que permite tener control más o menos completo sobre la máquina que lo ejecuta.
Lo curioso es que se aprovecha de una vulnerabilidad muy conocida que no puede ser eliminada, ya que en realidad forma parte de su filosofía de funcionamiento. Es una "feature" intrínseca que no puede ser eliminada de éste punto débil. Es como intentar quitar los huevos a la hora de hacer un tortilla.
Muchas veces nos quedamos buscando información sobre algo en la red y vamos leyendo y leyendo y pinchando enlaces y más enlaces ... hasta el infinito y más allá.
Y que conste, que no creo que sea una vulnerabilidad, si no un fantástica "feature" que hace de este punto débil a la vez el más fuerte de todos.
Eduardo Morrás
S21secLabs
De las múltiples formas de atacar a este punto débil la más sencilla es usar este raro ejemplar de troyano escrito en javascript que permite tener control más o menos completo sobre la máquina que lo ejecuta.
Lo curioso es que se aprovecha de una vulnerabilidad muy conocida que no puede ser eliminada, ya que en realidad forma parte de su filosofía de funcionamiento. Es una "feature" intrínseca que no puede ser eliminada de éste punto débil. Es como intentar quitar los huevos a la hora de hacer un tortilla.
Muchas veces nos quedamos buscando información sobre algo en la red y vamos leyendo y leyendo y pinchando enlaces y más enlaces ... hasta el infinito y más allá.
Y que conste, que no creo que sea una vulnerabilidad, si no un fantástica "feature" que hace de este punto débil a la vez el más fuerte de todos.
Eduardo Morrás
S21secLabs
SF_2008_Vulnerabilities
Por fin han llegado San Fermín 2008 y como no podía ser de otra forma desde S21sec labs en Pamplona teníamos que dedicar un post a nuestras queridas e internacionales fiestas. Desde este blog continuamente tratamos de concienciar a la gente sobre la seguridad informática los diferentes tipos de fraude de los que podemos ser víctimas en internet. Hoy, vamos a cambiar un poco de tema y vamos a concienciar también sobre algunas "vulnerabilidades de seguridad física" pero en nuestras fiestas.
Robo: San Fermín es una fiesta muy popular y en la que en muchas ocasiones se dan grandes aglomeraciones de gente. Durante las fiestas los casos de robo de carteras y otros objetos como cámaras de fotos, cámaras de video, etc. se disparan. Aunque el grado alcohólico nos hace generalmente despreocuparnos, debemos mantener a buen recaudo nuestra cartera mientras paseamos o descansamos en un jardín. Nunca está de más un bolsillo interior en el que guardar el dinero o el socorrido almacenamiento genital de cartera, cuando uno se echa un ratito a dormir. Obviamente tampoco hay que quitarle ojo a los bolsos o mochilas que podamos llevar. Otro tipo de robos que no están reconocidos oficialmente pero a los que hay que prestar también atención son por ejemplo el tomarse algo en una de las terrazas de la plaza del castillo o cualquier otro sitio céntrico.
El fuenting: Este es un deporte que se está haciendo popular entre los extranjeros, también hay que decir que así le va. Consiste en subirse a lo alto de la fuente de Navarrería y desde ahí tirarse encima de la multitud de gente que unas veces amortigua la caída y otras veces ..... no, con lo que el/la susodicho/a se de bruces contra el suelo con las correspondientes consecuencias.
El encierro: Sin duda uno de los exponentes de las fiestas, pero no todo el mundo es consciente de lo peligroso que es. Para los corredores habituales es una tradición y convierten su afición en todo un arte. Pero entre estos corredores se mezcla también mucho inconsciente que realmente parece que no sabe que se está enfrentando a un toro. El encierro no es un juego, a lo largo de la historia han muerto 13 corredores y el número de heridos es incontable.
El alcohol: Éste sin duda es sin duda una parte fundamental de las fiestas, la cerveza, kalimotxo, y últimamente también la sangría, se bebe por litros pero esto también pasa su factura y hay que saber donde está nuestra capacidad y poner un límite para conseguir la euforia alcohólica pero no pasarnos en exceso o acabaremos perjudicados.
Teniendo en cuenta estos potenciales "riesgos de seguridad" y tratando de combatirlos podemos disfrutar de las fiestas sin incidentes (a excepción de la correspondiente resaca). Desde S21sec labs queremos desear a todos los Pamploneses y visitantes unas Felices Fiestas, e invitaros a todos los que queráis a uniros y disfrutarlas con nosotros.
Guzmán Santafé
S21sec labs
Robo: San Fermín es una fiesta muy popular y en la que en muchas ocasiones se dan grandes aglomeraciones de gente. Durante las fiestas los casos de robo de carteras y otros objetos como cámaras de fotos, cámaras de video, etc. se disparan. Aunque el grado alcohólico nos hace generalmente despreocuparnos, debemos mantener a buen recaudo nuestra cartera mientras paseamos o descansamos en un jardín. Nunca está de más un bolsillo interior en el que guardar el dinero o el socorrido almacenamiento genital de cartera, cuando uno se echa un ratito a dormir. Obviamente tampoco hay que quitarle ojo a los bolsos o mochilas que podamos llevar. Otro tipo de robos que no están reconocidos oficialmente pero a los que hay que prestar también atención son por ejemplo el tomarse algo en una de las terrazas de la plaza del castillo o cualquier otro sitio céntrico.
El fuenting: Este es un deporte que se está haciendo popular entre los extranjeros, también hay que decir que así le va. Consiste en subirse a lo alto de la fuente de Navarrería y desde ahí tirarse encima de la multitud de gente que unas veces amortigua la caída y otras veces ..... no, con lo que el/la susodicho/a se de bruces contra el suelo con las correspondientes consecuencias.
El encierro: Sin duda uno de los exponentes de las fiestas, pero no todo el mundo es consciente de lo peligroso que es. Para los corredores habituales es una tradición y convierten su afición en todo un arte. Pero entre estos corredores se mezcla también mucho inconsciente que realmente parece que no sabe que se está enfrentando a un toro. El encierro no es un juego, a lo largo de la historia han muerto 13 corredores y el número de heridos es incontable.
El alcohol: Éste sin duda es sin duda una parte fundamental de las fiestas, la cerveza, kalimotxo, y últimamente también la sangría, se bebe por litros pero esto también pasa su factura y hay que saber donde está nuestra capacidad y poner un límite para conseguir la euforia alcohólica pero no pasarnos en exceso o acabaremos perjudicados.
Teniendo en cuenta estos potenciales "riesgos de seguridad" y tratando de combatirlos podemos disfrutar de las fiestas sin incidentes (a excepción de la correspondiente resaca). Desde S21sec labs queremos desear a todos los Pamploneses y visitantes unas Felices Fiestas, e invitaros a todos los que queráis a uniros y disfrutarlas con nosotros.
Guzmán Santafé
S21sec labs
S21sec CFC: Call For Comments
Desde S21sec cada vez estamos más contentos puesto que la gran mayoría de los comentarios que recibimos sobre el contenido del blog son positivos; vamos creciendo en el número de lectores diarios (tanto del feed RSS como directamente del blog) y muchos otros blogs nos enlazan porque les gustan nuestros contenidos.
En aras de mejorar estos contenidos, nos gustaría que nos comentárais qué tipo de contenidos os gustaría que tratásemos (de cierta tecnología, de un problema, de una ley, de una vulnerabilidad, de un ataque, etc.), cómo os gustaría que fueran los contenidos (más técnicos, más profundos, más de opinión, etc.) y cualquier otro comentario que deseéis realizar para que podamos entre todos contribuir a que el blog sea realmente útil e interesante.
Ahora que estamos en plena época estival, es el momento adecuado para analizar qué es lo queremos que se convierta este blog, y no lo podemos hacer sin vuestra ayuda. Tenemos varias ideas en mente (incluiso en atrevernos con un blog en inglés), pero nos gustaría oir vuestros comentarios.
¡Gracias a todos!
David Barroso
S21sec e-crime
Extended data storage in Germany
The government decided to extend the central storage of personal data from German citizens. The earning of citizens who apply for social benefits shall be stored in order to expose electronically income statements. The platform ELENA shall provide central data access without the knowledge of those concerned.Especially after the recent data glitch where personal data about citizens was accessible over the internet - this central storage of data is discussed controversial. The reason for that mishap was that administrators didn't change the default password after installing the used software.
Meanwhile, it became known that the Austrian Police intensely uses their new right to monitor citizens. In the last 4 months they determined 3863 times the identity of internet users. This corresponds to a query every 45 minutes.
For Germany it is not known how often the information stored for the data retention is accessed.
Clemens Kurtenbach
S21sec labs
Suscribirse a:
Entradas (Atom)