Procesado automático de HTML

En este post vamos a abrir un tema de suma importancia en la clasificación automática del contenido web. ¿qué problema es este?, muy sencillo, la cantidad de ruido que puede observarse dentro del código HTML de cada página.

¿Por qué es importante?
Muy sencillo, dentro de una página web no tienen la misma importancia para un usuario normal que la visite, los banners publicitarios, o el copyright que la noticia central de una página. Veamos el ejemplo de la siguiente imagen:


Como se puede apreciar la información real del texto contenido en dicha página difiere mucho dependiendo de factores como la localización, tamaño, resaltados, etc... Entonces si queremos obtener qué información es importante de una página web es imprescindible el poder "eliminar" el ruido y ponderar efectivamente la información contenida en dicho código HTML.

¿Qué soluciones hay?
Actualmente hay varios estudios y diferentes implementaciones, casi todas ellas se basan en segmentar el contenido de la página web en diferentes bloques semanticamente identificables mediante diferentes técnicas. Con ello se consigue separar las zonas más importantes (desde el punto de vista del usuario final) para posteriormente ser procesadas por diferentes algoritmos de clasificación y filtrado de información.

¿Qué ventajas aporta?
Está claro que para un usuario normal ninguna, estas son técnicas relacionadas para el procesado automático de la información o Web Mining. Si automaticamente se "separa" y "pondera" la información útil de una página web la clasificación final será mucho más efectiva.

En posteriores post iremos ampliando información.

Referencias:

• Automatic Detection of Fragments in Dynamically Generated Web Pages (Lakshmish Ramaswamy, Arun Iyengar, Ling Liu, Fred Douglis)
• Eliminating Noisy Information in Web Pages for Data Mining (Lan Yi, Bing Liu, Xiaoli Li)
  

José María Arce Guillén
S21sec labs Vigilancia Digital

Auditorias de seguridad teóricas

Imaginad la situación, partimos de un diseño de una red (en adelante modelo), pongamos como ejempo un diagrama en visio (vease también diag, o cualquier otra alternativa para los afines a lo GPL), lo metemos en una máquina que hace "bip", y obtenemos el listado de vulnerabilidades, debilidades y vectores de ataque asociados sin necesidad de realizar la auditoría real. Posteriormente, a partir de este resultado, es posible analizar la forma en que el número de vulnerabilidades y debilidades cambia cuando realizamos una manipulación del modelo (diagrama o información asociada), lo que permite al analista de seguridad comprobar si las medidas aplicadas o los cambios propuestos mejoran o empeoran la situación general, y a que componentes afectarían estos cambios. Sería ideal, es complicado, pero no es imposible.

Dentro del marco del proyecto INSPIRE en el que participamos de forma bastante activa, estamos desarrollando lo que para dicho proyecto se llama "security framework", que es la mezcla de varios repositorios de información, un sistema de categorízación y filtrado basado en un modelo ontológico específico y una herramienta de ayuda a la decisión. El objetivo del proyecto es, a partir de una modelización de una red SCADA evaluar las vulnerabilidades y mejoras aplicables.

Security Framework de INSPIRE

En entornos en los que la criticidad es una de las variables, se hace muy dificil introducir herramientas de auditoría orientadas al mundo IT. Las herramientas de auditoría son demasiado agresivas tanto para las plataformas como para los equipos que dan soporte (red, históricos, etc...). Se da la situación de que algunas de ellas podrían dejar los dispositivos analizados en estado poco estable para su funcionamiento, por lo que es necesario buscar alternativas que no repercutan de forma negativa en el rendimiento. Por todo ello, una alternativa teórica puede ofrecer cierta luz al respecto. Sobra decir que la cantidad de información y los criterios de relación necesarios para que un 'monstruo' de este tipo funcione son muchos, pero cuanta más información se incorpora al sistema, mejores serán los resultados obtenidos.

En una fase inicial, únicamente se han contemplado vulnerabilidades en sistemas operativos y aplicaciones a partir de un inventariado. Se relacionan las vulnerabilidades con los 'activos' analizados y ya es posible filtrar las existentes a partir de este "diagrama de red". La inclusión de debilidades inherentes a otras tecnologías, como criterios de autorización y autenticación (aplicables por ejemplo a elementos de red y protocolos) utilizados por los diferentes servicios permite obtener una visión más real del impacto asociado a las vulnerabilidades. Del mismo modo puede vincularse esta categorización con los vectores de ataque que pudieran afectar a la red. Por último, si se incluyen variables como factores de configuración de los servicios, usuarios y privlegios, es posible eliminar en gran medida la cantidad de falsos positivos en el resultado, y la aparición de nuevas debilidades ante cualquier cambio.

Todo esto se adereza con una relación de soluciones a las vulnerabilidades o debilidades descubiertas, pasos de explotación, referencias de exploits y herramientas que permiten abusar de esta vulnerabilidad, o cualquier otra información disponible que pueda ser relacionada en el repositorio y es lo que se llama: "la herramienta".

De la práctica a la teoría

Si bien es imposible obtener el mismo resultado que a través de una auditoría de seguridad real ya que son muchos los factores no controlables, si que es posible obtener una aproximación sorprendentemente acertada, tal y como tenemos la oportunidad de ver en nuestro laboratorio de SCADA. Posiblemente los resultados iniciales estén en cierta forma condicionados al hecho de que la tecnología necesaria para este proyecto ha sido realizada partiendo del laboratorio como fuente de información.

Para obtener resultados considerablemente reales es necesario realizar un inventariado lo más preciso posible con el que completar el modelo. El inventariado puede incluir opciones de configuración que permitan considerar la aparición de nuevas vulnerabilidades, o eliminar los falsos positivos existentes en el filtrado inicial. Este inventariado, así como la recogida de los factores de configuración también puede ser automatizado perfectamente.

Para los que consideren que este tipo de aproximación es demasido fantástica, podría recordarles que el MBSA de Microsoft comprueba la versión de una biblioteca del sistema operativo para saber si existe o no alguna vulnerabilidad, al igual que hace OVAL. La otra alternativa, mirar claves del registro de windows, es ampliamente utilizada por Nessus, entre otros, por poner un ejemplo. Muchos de los plugins y detectores de varias aplicaciones comerciales confían únicamente en el banner de los diferentes servicios para determinar la existencia de vulnerabilidades específicas.

Desde el punto de vista más práctico, para saber sin un servicio DNS dispone de transferencia de zona existen varias herramientas, ninguna lo hace comprobando directamente la configuración del servicio DNS (es decir, coger la configuración y mirar si esta opción está o no habilitada). Del mismo modo, es posible determinar si el usuario anónimo de un servicio FTP dispone de permisos de escritura realizando la prueba empírica o revisando la configuración del servicio. En cuanto al nivel de visibilidad, es posible realizar un barrido de pings o bien analizar la configuración de un firewall. La sesiones NULL de equipos windows pueden analizarse a partir del sistema operativo y las claves de registro correspondientes, o bien realizando el intento de conexión. Todos estos son ejemplos de auditoría de seguridad 'teórica', cuando el modelo dispone además del inventariado de información de configuración suficiente para realizar esta evaluación.

Existen varias maneras de obtener el mismo resultado, pero la particularidad de los entornos SCADA obliga a utilizar la menos agresiva.

Aplicaciones

Aunque el objetivo inicial de security framework del proyecto INSPIRE es el de realizar valoraciones de seguridad en entornos SCADA, es posible reorientarlo para entornos IT, en los que pueden incluirse un mayor número de repositorios de información. Cuando el sistema carece de información concreta aún es posible realizar una aproximación de tecnologías y criterios de seguridad a evaluar, que puede ser utilizado para orientar la auditoría y realizar una estimación inicial de esfuerzo. Si el sistema incluye toda la información adicional es posible incluso llegar a evaluar el impacto de las recomendaciones y sus implicaciones.

Nos vamos a Polonia a presentar una demo en Julio, os iremos contando más sobre su diseño, desarrollo y evolución, aunque de momento podemos decir que hace "bip"!.

Iñaki López
S21Sec labs

Ojo por byte

Me he quedado helado leyendo una noticia que me ha pasado un compañero de trabajo. Parece que algunos paises se están adelantando a futuros acontecimientos, y se reservan el derecho de usar la fuerza física contra ciberataques.

Automáticamente me ha venido a la memoria la película "Juegos de Guerra" de la que ya se habló en el Blog. Yo no soy partidario del contraataque en la red, que hasta ahora lo concebía desde un punto de vista estrictamente digital. Sin embargo, el hecho de replicar un ataque por el mundo real, ya me parece extremo. ¿Se puede tener una certeza absoluta sobre el responsable del ataque como para responder así? ¿Los ataques DDoS?

Yo solo espero que nunca se llegue a producir una situación así por el bien de todos, aunque solo sea por la cantidad de ordenadores zombie que tenemos en España.

Álvaro Ramón
S21sec labs

Safe Banking Software

Durante el pasado CeCOS III, tuvimos la ocasión de asistir a una presentación por parte de nuestros colegas de iDefense sobre la seguridad de los productos denominados Safe Banking, que ofrecen una seguridad adicional a la hora de interactuar con nuestra Caja o Banco online. Básicamente, este tipo de soluciones (de las que cada vez existen más), si dividen en tres familias principales:

• Network Access Control (NAC/NAP)
• Entornos virtualizados (una de las más comunes)
• Protección del navegador

Por supuesto, cada aproximación tiene sus ventajas y desventajas, y muchas de ellas inclinan la balanza hacia el lado de la seguridad más que de la usabilidad, siendo este hecho su principal talón de Aquiles, puesto que muchas veces el usuario prefiere rapidez y simplicidad, y sobre todo, ubicuidad (con lo que muchas veces evita estas soluciones).

Generalmente, todas estas soluciones comentan que ofrecen una seguridad al 100% frente a todo tipo de amenazas normalmente originadas por el control de la máquina por parte de código malicioso: keylogging, HTML injection, screenshots, phishing, pharming, session hijacking, uninstall, ...

Lo interesante de la presentación, fue el resultado de evaluar código malicioso actual (con los kits de infección actuales) con estos productos, ya que en casi el 50% de estos productos fue posible saltarse todas las medidas de protección en menos de 5 minutos, y en la práctica totalidad del resto era posible saltarse las medidas en unas 8 horas de trabajo, menos en dos productos que parecían poner las cosas más difíciles.

El problema principal es que una vez que la máquina está controlada por un código malicioso, nos encontramos en un entorno no confiable u hostil, con lo que muchas de estas médidas pueden ser fácilmente evadidas. Si a este hecho le sumamos lo que hemos comentado de seguridad vs usabilidad, y un poco de ingenieria social, nos encontramos que realmente es difícil que una aplicación nos proteja de estas amenazas, por muchos esfuerzos que realice para ello.

David Barroso

S21sec e-crime

Cuidado, sales en Internet

Un día vas y "googlea"s un poco con tu nombre, por curiosidad.

Vaya! ¿Qué es esa página del BOE?. Mmmmm, parece algo sobre una multa... ¿Qué no he pagado esa multa de tráfico de hace unos meses? Pero, ¿Esto está aquí en Internet publicado y lo puede ver cualquier persona? Espera un momento, hay mas... Aquí hay un enlace a un vídeo de youtube... A ver que es... Qué *#$%&es!, ya me acuerdo!, la cena del otro día, las rondas de chupitos... No sabia que me estaban grabando! Y van y lo suben a youtube!

¿Ficción o realidad? A mas de uno le habrá ocurrido algo parecido; toparse de repente en Internet con información relativa a su persona, y en ocasiones información de carácter privado que no nos gustaría que estuviera ahí, a la vista de todo el mundo. Este fenómeno no es exclusivo de las personas; las empresas, partidos políticos u organizaciones de diferente índole también pueden llevarse alguna sorpresa desagradable si les da por buscar información sobre sí mismos en Internet.

Por si no os habéis dado cuenta hasta ahora, estamos hablando de un concepto denominado reputación online.

De la wikipedia obtenemos la siguiente definición:

"La reputación online es el reflejo del prestigio o estima de una persona o marca en Internet. A diferencia de la marca, que se puede generar a través de medios publicitarios, la reputación no está bajo el control absoluto del sujeto o la organización, sino que la 'fabrican' también el resto de personas cuando conversan y aportan sus opiniones. Esto es especialmente importante en Internet, dónde resulta muy fácil y barato vertir información y opiniones a través de mecanismos como foros, blogs o redes sociales. Este fenómeno de amateurización de los contenidos es lo que conocemos como 'contenido generado por el usuario', del inglés 'user generated content'."

Gracias a Internet, lo que antes podía quedar en un entorno social reducido (la familia, amigos o escuela), ahora se distribuye de forma masiva y puede alcanzar grandes cotas mediáticas. En definitiva, la reputación online es un "arma de doble filo", ya que puede ser tanto positiva como negativa. Pero, ¿existe alguna manera de conocer la reputación sobre alguien o algo en Internet? Es decir, ¿cómo se puede gestionar este conocimiento?

Un aspecto esencial de la gestión de la reputación online es la monitorización en tiempo real de Internet para estar al tanto de ataques potenciales contra la reputación del individuo o de la organización en cuestión. Ahora bien, ¿qué implica la monitorización en tiempo real de Internet? Para el caso de una organización, ¿qué debería hacer?, ¿contratar personas para que se dediquen a buscar información en Internet? Podría ser, aunque claramente, esta no es la mejor solución, ya que resulta un tanto costosa (por no mencionar lo tedioso que puede resultar que tu trabajo consista "googlear" todo el día).

Algunas empresas ofrecen servicios de "clipping", pero, estos servicios solo se limitan a recolectar información de artículos de prensa y blogs, dejando de lado el contenido multimedia (imágenes, audio, vídeos) existente en Internet. Así pues, ¿qué podemos hacer?

La herramienta ideal para poder gestionar este conocimiento (la reputación online) tanto de una persona como de una organización debería ser:

• Automática: ¿tal vez algún tipo de recolector de información capaz de obtener información de diferentes medios?

• Inteligente: ¿como podemos interpretar el contenido de la información recolectada? (estaríamos hablando de procesado semántico/sintáctico de texto, mas procesado de imágenes y audio).

• Multimedia: no solo debe procesar texto, también debe saber procesar imágenes, audio y vídeo.

¿Cómo afrontar cada uno de los aspectos descritos más arriba? Mis compañeros y yo abordaremos estos temas en futuros posts, y recordad, vuestra reputación puede estar siendo mancillada por algún desalmado.

Porque en definitiva, antes o después, a todos nos han sacado en alguna foto en Internet...

Asier Marruedo

S21sec - Vigilancia Digital

Koobface: tirando del hilo

ATENCIÓN: cuidado si os da por probar, porque seguramente los servidores todavía estén activos...

Hace unos días me comentaron que había un virus que se estaba propagando por el Facebook, en forma de mensaje amigable (aunque no muy creíble), así que decidí echarle un vistazo:

Al visitar el link del mensaje aparecía únicamente un archivo Javascript ubicado en el mismo servidor, cuyo contenido, al parecer, es generado de forma automática por el código PHP:

<script type="text/javascript" src="j09hmok23zh.js"></script>

Este código hacía de redirector según el campo Referer enviado en la petición HTTP; dependiendo de si éste contenía el dominio de una red social u otra se le asignaba un archivo PHP diferente, si no contenía ninguno se redirigía a una página diferente, pero en el mismo dominio malicioso:


En el caso de Facebook, por ejemplo, la URL a la que nos llevaba era la siguiente:

http://redir0805.xxx/go/fb.php

Ésta, a su vez, añadía otro nivel más de redirección, ya que lo único que devolvía eran cabeceras, entre las que se encontraba Location, que era la que forzaba una nueva visita a otra URL. Es curioso el hecho de que cada vez que se hacía una petición el servidor al que se redirigía era diferente, eliminando toda centralización y propiciando que el vector de ataque estuviera en todo momento disponible.

También es importante remarcar que, aunque los datos del whois al dominio redir0805.xxx así como al redir0705.xxx se ocultan gracias a la compañía PrivacyProtect.org, se muestran fechas de registro del 8 de mayo. Claramente estos dominios son susceptibles de cambiar, visto su nombre y la fecha de registro, permitiendo, una vez más, la descentralización y el cambio de ubicación de la infraestructura.

En este punto se abría una página que simulaba a Youtube, con título Secret Video, y que mostraba un intento de visualizar el vídeo, aunque fallaba ya que supuestamente nos faltaba el Adobe Flash Player 10.37. De forma instantánea la amable página ofrecía el instalador que nos sacaría de aquel problema y nos dejaría ver ese vídeo super secreto...




Este ejecutable era una versión más del conocido gusano Koobface que se propaga por las redes sociales, no sólo Facebook, sino también algunas otras como Myspace, Hi5, Tagged, etc, desde mediados del año pasado y que va reapareciendo cada dos por tres. En este caso, cada vez que visitábamos el servidor malicioso se descargaba un ejecutable con diferente hash aunque mismo comportamiento. Menos de la mitad de los antivirus eran capaces de detectarlo.

Entre otras cosas, su ejecución implica la copia de sí mismo en el directorio %WINDIR% con el nombre ld08.exe, el borrado del ejecutable original, así como la visita a otro nuevo servidor, main15052009.xxx, para dar a conocer su infección y recibir nuevas instrucciones, que en su gran mayoría propiciaban la descarga y ejecución de más código malicioso:



A continuación unos breves apuntes sobre estos ejecutables, en su mayoría identificados genéricamente como downloaders:

• 6244.exe: instala como BHO la DLL %WINDIR%/system32/796525/796525.dll que crea hooks en funciones de manejo del ratón y del teclado. Se comunica con el dominio zz-dns.com, enviando y recibiendo datos codificados al usar Internet Explorer.

• nfr.exe: se copia a sí mismo en %WINDIR%/system32/SYS32DLL.exe y borra el ejecutable original. Modifica las preferencias de Firefox e Internet Explorer para añadir un proxy local en el puerto 7171, enviando al dominio zz-dns.com las búsquedas realizadas y modificando las respuestas de los buscadores en base a la respuesta del servidor, redirigiendo al usuario a la descarga de más malware. Parece ser una especie de adware.

• pp.09.exe: se copia a sí mismo en %WINDIR%/pp09.exe y borra el ejecutable original. No se han encontrado intentos de conexión con servidores externos.
  

• jpssoft.exe: crea la DLL winrzf32.dll en el directorio %WINDIR%/system32, conecta con el dominio oberaufseher.net y obtiene como respuesta una cadena de bytes, que tras un XOR con clave 0x45 resulta en los siguiente:

A * 3 http://iwantsearc.xxx/img/cmd.php

RM * 641 1 http://202.7.57.257/banners/pr.php?b=[brand]
RM * 642 1 http://202.7.57.257/banners/xp.php?b=[brand]
RM * 643 1 http://202.7.57.257/banners/prx.php?b=[brand]

Tras esto realiza peticiones a estas URLs modificando el parámetro b y obteniendo diferentes imágenes y páginas web, además de enviar información relacionada con la máquina infectada.

El dominio donde se alojaba este malware (en pasado porque esta noche parece que lo han limpiado) es un sitio web legítimo que sufrió una intrusión, realizada al parecer por Ali Baba y los 40 ladrones:


Como veis, si uno empieza a tirar no termina nunca, habiendo dejado muchísimas cosas en el tintero. Espero que con todo esto se os hayan quitado las ganas de visitar enlaces sospechosos y ejecutar archivos raros, si no, os encontraréis con nuevos amiguitos. En este caso parece que no se llegaba al robo de información sensible, pero podría haberse descargado un troyano bancario que fuera mucho más sofisticado, y que quizá conllevara incluso alguna transferencia bancaria no deseada.


Jose Miguel Esparza
S21sec e-crime

XXVII reunión de Trusted-Introducer y Task Force-CSIRT

Durante este lunes y martes tuvo lugar en León el XXVII encuentro de Trusted-Introducer y Task Force-CSIRT, en las instalaciones de INTECO. Durante estos dos días, tuvimos la oportunidad de presenciar diferentes ponencias tanto técnicas como de organización de equipos de respuesta ante incidentes, y pudimos comprobar que la actividad española se encuentra en uno de sus mejores momentos, con representantes de la práctica totalidad de los CERT españoles, tanto públicos como privados.

La reunión fue una ocasión inmejorable para intercambiar experiencias con diversos CERT europeos sobre los incidentes principales acontecidos en 2009, así como para establecer relaciones de confianza con muchos de ellos.

Desde aquí agradecer a INTECO la organización del evento y esperamos que iniciativas como esta sigan ocurriendo con el mismo nivel de calidad y sobre todo, con la gran participación de CERT españoles.

David Barroso

S21sec e-crime

WAWY GPL

En este blog hemos hablado en numerosas ocasiones de la seguridad en redes inalámbricas 802.11. Es más, entre los proyectos que tenemos abiertos y que pueden verse en este mismo blog hay uno que trata especificamente el tema. Dentro de este proyecto se ha desarrollado un IDS para redes WIFI cuyo prototipo se ha decidido liberar.

Este software recoge el tráfico mediante una tarjeta que pueda capturarlo como tráfico 802.11 con cabecera radiotap y lo procesa. En el fichero hay una breve explicación de cómo hacer que una tarjeta con chip Atheros (que son las que hemos utilizado) capture tráfico con cabeceras radiotap. En la imagen, Wireshark muestra un interfaz de captura válido para WAWY.


Este prototipo es un IDS basado en reglas y desarrollado en Python. Junto con el código, hay un documento que describe varios aspectos de su funcionamiento y características. En este post quiero hacer una breve introducción de sus capacidades.

La configuración se hace mediante un único fichero en formato XML, donde se definen las reglas a seguir. Las reglas sencillas son expresiones booleanas que deben cumplir los campos de las cabeceras 802.11 o los de la capa física. Como un ejemplo vale más que mil palabras, aquí hay uno:

dot11.type=0 and (dot11.subtype=10 or dot11.subtype=12) and dot11.destination_addr=ff:ff:ff:ff:ff:ff

Esta expresión comprueba si un paquete es de tipo management (dot11.type=0) de desautenticación o de de desasociación (dot11.subtype=10 or dot11.subtype=12) y se está enviando a broadcast (dot11.destination_addr=ff:ff:ff:ff:ff:ff). El IDS generaría una alerta antes este tipo de tráfico.

En lugar de una unica expresión, se puede comprobar una serie de ellas que suceden de manera sucesiva, pudiendo detectar ataques que necesitan una secuencia de acciones para llevarse a cabo. También se pueden configurar alertas que se generan según el número de veces por segundo que se recoge un tipo de tráfico determinado, como suele pasar en ataques de denegación de servicio o cuando se reinyecta tráfico de manera sistemática.

Que el IDS genere una alerta puede significar varias cosas, según como se haya configurado. Una alerta puede mostrarse por pantalla, guardarse en un fichero, enviarse por red, guardarse en una base de datos, generar una entrada en syslog o combinaciones de estas posibilidades.

El IDS también puede utilizarse para vigilar que nuestros puntos de acceso están bien configurados, haciendo para estos unas comprobaciones sencillas de manera automática y alertando si hay alguna inseguridad grave.

Aún hay más características que podéis comprobar por vosotros mismos. Si conocéis el protocolo 802.11 podéis generar vuestras propias reglas fácilmente y por supuesto, podéis desarrollar a partir del código existente y modificarlo, respetando su licencia. Os animamos a descargarlo y nos gustaría que nos comentarais cualquier sugerencia, duda o idea que tengáis en este blog o en esta dirección de correo.

Patxi Astiz
S21sec labs

WAWY GPL [EN]

This blog has several entries about security in 802.11 networks. Moreover, one of the projects we are working on covers this very topic. You can check the whole list in this blog. For the mentioned project, a WIFI IDS has been developed and is now publicly released.

The software gathers from an 802.11 wireless interface that is able to sniff frames and add radiotap headers to them. This traffic is processed by the IDS. There is a brief explanation on how to set up an Atheros wireless card (the ones we used) properly. In this screenshot, Wireshark shows an interface ready to sniff traffic.



This is a rules based IDS written in Python. There is a document enclosed with the code that describes its capabilities and how it works.

Configuration is made by a single XML file that holds the rules. Generally speaking a rule is a boolean expression that includes fields read from the 802.11 and physical headers. It is esasier to understand with an example:

dot11.type=0 and (dot11.subtype=10 or dot11.subtype=12) and dot11.destination_addr=ff:ff:ff:ff:ff:ff

This expression checks if the captured frame is a management one (dot11.type=0), it is a deauthentication or desassociation frame (dot11.subtype=10 or dot11.subtype=12) and it was sent to the broadcast address (dot11.destination_addr=ff:ff:ff:ff:ff:ff). Whenever this kind of traffic is seen, the IDS generates an alert.

Instead of checking a single boolean expression, complex rules can check a series of them. This way, attacks that need different consecutive actions to be performed can be detected. Other kind of complex rules determines how many times per second an specific kind of frames (defined by a boolean expression) is seen. Depending on that rate, alerts are issued. It makes detecting DOS and systematic reinjection easy.

An alert can have different meanings, depending on the configuration. An alert can be shown on the screen, written in a file, sent thorough the network, stored in a database, kept in a log using syslog or any combination of these actions.

This IDS an also be used to keep an eye on our access points. Some parameters are automatically checked and serious security issues are alerted as soon as they happen.

There are more features that you can check. If you are familiar with the 802.11 protocol, you can easily write your own rules and s long as you respect the license, you are completely free to use and modify the source code. We would really like you to download the software and comment any suggestion, doubt or idea in this blog or by sending us an e-mail.

Patxi Astiz
S21sec labs

Tecnología y Propaganda

Las noticias sobre ataques a infraestructuras gubernamentales y/o militares van en aumento año tras año.

Tenemos ejemplos relativamente recientes de conflictos bélicos activos que se complementan con ataques cibernéticos, ya sean promovidos o no por los gobiernos de turno y/o hacktivistas, sirvan los ataques originados en Rusia hacia Georgia como ejemplo.

Por otro lado parecen aumentar las noticias relacionadas con intrusiones a sistemas militares como los de las Fuerzas Aéreas del Reino Unido o los del Pentágono en Estados Unidos. Si bien en estos dos casos los ataques parecen tener como objetivo la recaptación de inteligencia más que causar daño a infraestructuras críticas, el uso de la información recolectada por parte de enemigos potenciales puede tener un resultado aún más destructivo.

El fenómeno de la ciber-guerra es hace tiempo objeto de estudio por parte de los distintos entes gubernamentales que conscientes del problema están tomando medidas al respecto que se traducen a la práctica en un mayor interés en cualquier aspecto que ayude a mejorar la defensa de su espacio virtual.

En este sentido, y estrechamente relacionado con la protección y defensa de infraestructuras existen diversos proyectos para crear sistemas operativos seguros (parte esencial de dichas infraestructuras) como standard de uso en sistemas gubernamentales (y en algunos casos, por extensión en cualquier sector ya sea público o privado).

Aunque últimamente se ha hablado bastante sobre el tema, destaco el desarrollo por parte de China (iniciado en el año 2001) de un sistema operativo propio ( Kylin ) a prueba de balas para proteger sus activos virtuales y no depender de fabricantes externos . La polémica está servida ya que recientes análisis demuestran que su “”nuevo”” kernel está basado muy probablemente en un FreeBSD 5.3, lo que contradice directamente los diferentes anuncios de una supuesta independencia tecnológica.

Esperemos que los desarrollos tecnológicos no se utilicen para crear propaganda de la superioridad de una nación, y si esto ocurre ( la propaganda es la propaganda ) , al menos que sea con motivos fundados.

Daniel L. Creus
S21sec e-crime

Cumpleaños feliz, cumpleaños feliz....

Hoy hace 2 años (y un día) desde que nuestro Blog vio la luz.

Hay poco que decir, pero sin embargo mucho que agradeceros a vosotros, nuestros lectores. Cada vez sois más y más fieles los que compartís con nosotros vuestro tiempo aportándonos vuestra amable compañía.

La verdad es que este año ha sido muy bueno, hemos vuelto a superar nuestras expectativas y hemos crecido de forma gradual durante todo el año. Esperamos seguir creciendo los siguientes años y sobretodo poder hacerlo junto a vosotros.

Queremos seguir comentando con vosotros todas las novedades acerca del mundo de la seguridad y para eso, necesitamos saber si echáis algo de menos: temas, funcionalidades, idiomas...?? Somos todo oidos.

Muchas gracias por estar ahí.

S21sec

Fotografía: rulesbc`s

Captchas

Hace tiempo, en este blog se habló de los captchas, qué son y cómo se han conseguido romper algunos de estos sistemas mediante el uso de programas automáticos. Pero hoy se va a hablar de los nuevos captchas diseñados por Google y la medida que han tomado los cibercriminales para romperlos.

Actualmente los captchas usados en muchos sitios web son los denominados image-recognition captchas. Estos sistemas se centran en la carga dinámica de imagenes para reconocer si el usuario es un programa automático (bot) o un humano. Estos sistemas tienen la vulnerabilidad de que la imagenes a cargar son finitas y, por lo tanto, pueden ser identificadas mediante el uso de reconocedores de imagenes rompiendo así el sistema.

Por esta razón Google ha propuesto, en un artículo publicado recientemente, una mejora en estos sistemas, la creación de captchas basados en imagenes rotadas. Este sistema, siguiendo con el funcionamiento base de los captchas, se centra en responder una pregunta en base a una imagen que contiene la respuesta a la pregunta. La particularidad de este sistema radica en que la respuesta es una imagen rotada un cierto número de grados. Mediante esta metodología se dificulta la creación de un programa automático capaz de resolver dicho captcha.

Ante la nueva tendencia en el aumento de la complejidad de los captchas y quizá también incentivado por la actual recesión económica mundial, los cibercriminales parece que vuelven a optar, cada vez más, por pagar a personas para que resuelvan los captchas de los sitios web.

En mi opinión, creo que los captchas son bastante vulnerables, como se ha demostrado en múltiples ocasiones, como medida para distinguir entre un humano y una máquina aunque se siguen usando e incorporando a nuevos sistemas.

Aitor Corchero Rodríguez
S21sec labs

re: deuda pendiente

Estos días nos encontramos ante una nueva oleada de SPAM. En el ejemplo que voy a comentar, el correo nos indica que tenemos una factura pendiente y nos adjunta un fichero .zip con la supuesta factura, con el formato Factura_XX.zip. En este ejemplo dicho archivo se llama Factura_26.zip.

Este caso me ha llamado la atención porque he recibido numerosas copias de este correo, con diferentes números, y gente de mi entorno también la ha recibido, por lo que parece que se está consiguiendo el objetivo de difundir masivamente este malware.

Nos encontramos ante una oleada de SPAM que trata de infectar el máximo numero posible de usuarios con nuestro viejo amigo y troyano bancario ZeuS/ZBot.

Dentro del fichero .zip tenemos un fichero ejecutable oculto tras una doble extensión (separados pos guiones bajos) y el icono de Microsoft Word, lo cual puede despistar al usuario novel.

A partir de la ejecución de este fichero, podemos decir que el usuario ya se ha infectado. Ahora bien, ¿qué pasa realmente?

Realmente este fichero no es el troyano en si. Es un instalador, que tiene la capacidad de descargar otro fichero ejectuable y lanzarlo, por lo que puede ser una fuente de infección de cualquier malware.

Este Factura_26.Doc__...__exe se copia en una carpeta temporal con un nombre menos sospechoso (svchost.exe), y pasa a la acción. Se da a si mismo permiso para poder salir a internet (HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List), suplanta la shell de Windows (modifica en la clave HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell el valor "Explorer.exe" por "Explorer.exe %tmp%\svchost.exe") y realiza su principal labor, que se trata de descargar otro fichero, esta vez renombrado a .gif, el cual es un binario de la familia ZeuS propiamente dicho.

$ wget xxxxxx.net/xxxxxx/bbs/images/waiting_z58.gif
...
$ file waiting_z58.gif
waiting_z58.gif: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit

Una vez ejecutado, se copia en la carpeta de sistema con el nombre twex.exe, se asegura sobrevivir al reinicio introduciéndose en la entrada HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, se descarga el fichero de configuración pertinente (se almacena en %system%\twain32\local.ds), y ya somos un bot más, una posible nueva víctima del fraude bancario.

Mikel Gastesi
S21sec e-crime

El mundo está loco, loco, loco

El mundo se está volviendo loco... Tal como indica SC Magazine, una agencia surcoreana cita fuentes oficiales para "denunciar" el hecho de que Corea del Norte está reclutando cibercriminales con el fin de comprometer redes tanto del país vecino como de otros países.

A esta noticia se une otra, según informa la CNN, en la que varios ciberdelincuentes han comprometido la seguridad de la defensa estadounidense, consiguiendo hacerse con documentos relativos al diseño de un avanzado avión de combate, el F-35 Lightning II, además de información sobre los sistemas de control de su tráfico aéreo. Tal como dice la noticia, esta fuga de información permitiría a quien dispone de la información encontrar formas de protegerse contra dicho avión.

Personal de defensa de EEUU asegura que en el caso del F35 no ha existido fuga de información como tal, aunque ya hay países que salen al paso para negar su participación en el ciberdelito - como por ejemplo China -.

No es la primera ni la última vez que ocurren estos casos. Lo importante es que cada vez hay que prestar más atención a la seguridad de los datos sensibles, aislando redes con información confidencial, sobretodo en los casos en que afectan a la seguridad de una nación.

Dado lo loco que está el mundo, cualquier día saltará a la prensa la forma en la que se tomó el control de una avión desde el suelo, desde dentro del avión o que se le dieron datos erróneos al comandante porque se interceptaron las comunicaciones.

Miguel López-Negrete
S21sec labs

CeCOS III

Como os hemos comentado estos días, durante la próxima semana tiene lugar en Barcelona la tercera edición del Counter e-crime Operations Summit, encuentro organizado por el Antiphishing Working Group y patrocinado por diversas empresas entre las que se encuentra S21sec.

El evento, que dura 3 días, y se celebra por primera vez en España es un verdadero punto de encuentro entre entidades gubernamentales, empresas actualmente en el punto de mira en los delitos de fraude, y empresas como la nuestra en la que dedicamos nuestros esfuerzos día a día para luchar contra cualquier delito de Internet.

Durante esta edición se esperan multitud de participantes (parece ser que va a ser la más multitudinaria de las celebradas) con una gran participación de empresas españolas, que no sólo atenderán las conferencias, sino que existe también una nutrida representación como conferenciantes.

Nosotros contaremos con una variada representación de compañeros de diferentes oficinas y aprovecharemos también para presentar el informe de Fraude Online 2008. 

Desde aquí agradecer al APWG y a todos los patrocinadores los esfuerzos realizados para la consecución de este evento, que estamos seguros que será un verdadero éxito.

¡ Esperamos veros allí !

David Barroso

S21sec e-crime

La gripe porcina

La gripe porcina es una enfermedad respiratoria aguda, que proviene de un virus porcino y está afectando sobre todo a México y EE.UU, pero tiene la capacidad de extenderse por el resto mundo, como señala la Organización Mundial de la Salud, ya que se contagia por el aire.

Como ya se ha visto en otras ocasiones (la investidura de Obama, el día de San Valentín, Juegos Olímpicos), los cibercriminales aprovechan las tendencias informativas para mandar spam a los internautas, y como era de esperar, esta vez no ha sido diferente. Se ha convertido en un virus informático que aprovecha el miedo, la confusión y el interés por la información disponible en la web acerca de la epidemia para propagar códigos maliciosos, correos electrónicos basura e infectar equipos. Estos últimos días se han disparado las búsquedas en Google sobre esta enfermedad, es más, la evolución de la enfermedad puede verse en Google Maps (H1N1 Swine flu), que está actualizada en tiempo real.

Además de lo comentado, google posee una herramienta de predicción de brotes de gripe llamada "flu trends" que está basada en en las tendencias de búsqueda de la enfermedad (hicieron una experimental para H1N1). En el siguiente enlace se puede ver como funciona.


Los ataques llegan vía e-mail, y contienen en el asunto un mensaje relacionado con la gripe junto a un enlace o archivo adjunto. El usuario al hacer click en el mensaje o al abrir el fichero se redirecciona a un sitio de phising o es expuesto a código malicioso.

Symantec ha informado que el pdf típico suele ser un cuestionario de preguntas frecuentes sobre la gripe, pero en realidad es "Bloodhound.Exploit.6" que introduce código malicioso InfoStealer en el ordenador de la víctima. También informa de un email con un título que dice "el recuento de sospechosos con gripe porcina es de 81" (aunque ahora mismo el número de infectados es mucho mayor) que incluye titulares de noticias verdaderas y pide información de personas que conozcas que crean puedan estar afectadas. Desde ahí se les pide ir a un sitio web para rellenar un formulario con sus datos. McAfee también se informa sobre correos en los que se comenta que la fiebre ha atacado a artistas de Hollywood, con asuntos como : "Salma Hayek caught swine flu!".

Yo recomiendo (o es lo que haré, en caso de que me lleguen) mandar a la basura todos esos emails, ya que bastante tenemos en los medios informativos con la dichosa gripe.

Iker Berriozabal
S21sec labs

Seguridad en Windows 7

Aprovechando que el 5 de mayo salió la Release Candidate de Windows 7, vamos hacer un pequeño repaso por algunas de las características de seguridad más relevantes que se incorporan al sistema operativo de Microsoft desde el cambio de filosofía XP.

Uno de los problemas achacados históricamente a los sistemas Windows es el tratamiento de permisos que realiza por defecto. Los usuarios tienen permisos de administración sobre el equipo, y las vulnerabilidades que afectan a las diferentes aplicaciones suponen tras su explotación el control total del equipo. Para ello en Windows Vista se introdujo el sistema User Account Control (UAC) que tras el login de un usuario se genera un token con escasos privilegios. Cada vez que un usuario o una aplicación realicen una acción que requiera mayores privilegios, el UAC mostrará una ventana para que el usuario verifique la validez de la misma.

Este sistema suscitó muchas críticas debido a la gran cantidad de mensajes que aparecían continuamente. En Windows 7 se ha aumentado la granularidad de configuración, y por defecto los cambios de configuración del sistema y las acciones realizadas por usuarios no necesitarán de verificación por parte de los usuarios, al contrario de las acciones realizadas por los programas. Este nuevo enfoque del UAC, ya ha permitido que existan pruebas de concepto que permitan saltarse las restricciones del UAC mediante la programación de exloits que simulen entradas de teclado, haciendo creer así al UAC que es el usuario quien está interactuando. En el blog de Long Zheng [http://www.istartedsomething.com/20090130/uac-security-flaw-windows-7-beta-proof/] podemos ver los detalles de una prueba de concepto.

Otra de las funcionalidades de seguridad más destacables incorporadas en Windows Vista es Bitlocker. Esta característica permitía el cifrado a bajo nivel de los discos duros utilizando chips TPM (Trusted Protection Module). Ahora en Windows 7 se incorpora Bitlocker To Go que además permite cifrar discos duros extraíbles y pendrives incluso sin el chip TPM. Según comunica Microsoft esta funcionalidad mantiene la compatibilidad con sistemas antiguos, de forma que un dispositivo cifrado con Bitlocker debería ser accesible de un sistema XP.

Por último cabe destacar las mejoras realizadas sobre el firewall de Windows. Mientras que en la versión de Windows XP, el control desde el usuario se limitaba a la activación y desactivación del mismo y se centraba exclusivamente en el tráfico entrante, en los sistemas Vista se permite realizar una mayor granularidad y el control de tráfico se realiza tanto del entrante como del saliente permitiendo crear listas de acceso dependiendo de las aplicaciones. En Windows 7 además de lo incorporado en Windows Vista, es posible la creación de perfiles para entornos públicos y privados, pudiendo variar así el nivel de restricción de las reglas.

Además de lo ya nombrado, Windows 7 incorpora nuevas características de seguridad como la gestión avanzada de políticas de grupo o el nuevo Action Center.

La apuesta desde Microsoft por la seguridad con Windows 7, se hace evidente, sabedores que gran parte del éxito del mismo depende de la confianza que su producto exprese a los usuarios.

Por cierto, se puede descargar la version RC oficial de la web de Microsoft

Jonathan Barajas
S21sec Auditoría

Nos vemos en Mayo

Este mes vamos a estar en varios eventos en distintas ciudades, por lo que esperamos verte en alguno de ellos.

Para empezar, la semana que viene estaremos en dos eventos en Barcelona: los días 11 y 12 se celebra el Simposium Internacional “El usuario de medios de pago ante el e-fr@ude. Respuestas prácticas a los consumidores en tiempos de crisis”, organizado por ADICAE. Vicente Díaz, manager de S21sec e-crime, participará en la mesa redonda “Banca Electrónica, ¿están seguros los consumidores?”, el martes día 12. Puedes consultar la agenda completa aquí.

Ese mismo día, David Barroso, director de S21sec e-crime, presentará el nuevo informe de fraude online y expondrá la evolución del fraude en los últimos cuatro años en el evento Counter eCrime Operations Summit III, que tendrá lugar en Barcelona entre los días 12 y 14. Podéis consultar la agenda aquí y la próxima semana, podréis descargaros el informe en nuestra página web.

A Madrid iremos el día 18, cuando Antonio Ramos, director de S21sec UMSS, ofrecerá una ponencia sobre las previsiones de la Seguridad en Internet en el III Encuentro Internet de la Comunidad de Madrid. El futuro en la red.

También ese lunes, participaremos en la Jornada Profesional de Comunicaciones, ProCOM 2009, en Zaragoza. Aquí, Jose Miguel Esparza, investigador de S21sec e-crime hablará sobre la Industria del Malware.

Por otra parte, también estaremos en León los días 18 y 19 de mayo, en la XXVII reunión de TF-CSIRT de TERENA. En estas jornadas, David Barroso dará una conferencia sobre la seguridad online en los navegadores y las últimas técnicas de fraude online.

Y el jueves 28 de mayo patrocinaremos la VI Jornada Internacional de ISMS Forum. En ella, Antonio Ramos moderará el debate “La agenda del CISO: qué temas son prioritarios”.

Unas cuantas oportunidades para conocernos, esperamos poder saludarte y tomarnos un café con vosotros.

Marketing S21sec

(I)lógica de aplicaciones Web I

En muchas ocasiones nos encontramos con que el responsable de una aplicación es consciente de las vulnerabilidades que existen hoy en día en lo referente a seguridad web. Por lo que se dedican recursos, tiempo y dinero en protegerse de los tan temidos SQL injection, y de los señores Cross Site (Scripting y Request Forgery), entre otros.

Ahora bien, las herramientas automáticas que se utilizan para detectar estas vulnerabilidades, no siempre nos protegen ni nos advierten de otras debilidades que se producen en todo proceso de creación empleado por el hombre, ya que hay sistemas que no pueden aplicar: La lógica.

Cuando se está desarrollando una aplicación, no se piensa en que el usuario de ésta, puede ser una persona distinta a quien lo crea, por lo que es lógico que si como programador, creo una aplicación a un usuario para que de entre todas las opciones posibles escoja “a”, “b” o “c”, es impensable que pueda escoger una “d”, si pongo una serie de links visibles para que acceda el usuario, no va a probar con un admin.html, o que si le estoy dando acceso a una zona, nunca va a desear tener acceso con más privilegios ¿Por qué? Si los usuarios, los humanos, no son curiosos por naturaleza.

Esto nos lleva a que nunca se puede dar nada por supuesto, y que es necesario comprobar siempre el origen de los datos, y que se está accediendo a unos datos a los que se tiene el privilegio y permiso para acceder, y nunca dejar nada en manos del azar ni a la curiosidad del usuario.

Si cuando se diseña una aplicación, se especifican una serie de pasos para realizar una acción, ¿por qué no se comprueba que cuando un usuario escoge un producto a comprar, este se coloca en una cesta, y misteriosamente, con un precio inferior al original? Así que evitar el uso de variables del estilo, esAdmin=si, precioProducto=10.0, o usuario=Abel.

Abel Gomez

S21sec Auditoría

Una de espías y un trabajo interesante

Hace ya unas semanas que se publicó en el Wall Street Journal un artículo que hacía saltar la alarma de que espías rusos y chinos habían accedido a la red eléctrica estadounidense. El artículo deja claro que durante la incursión no se dañaron la red eléctrica en sí misma ni ningún otro elemento clave asociado. Sin embargo parece que los espías sí que aprovecharon para dejar puertas traseras secretas que poder utilizar durante una crisis o una eventual guerra. Podéis acceder al artículo completo pinchando aquí.

Siguiendo la información que se ha ido sucediendo al hilo de la noticia me he topado con un estudio muy interesante que hace la gente de Team Cymru y que me gustaría resumir en este post.

Team Cymru gestiona un espacio de direcciones IP públicas enrutables detrás de las cuales no existe ningún servicio activo en ejecución. Esto supone que teóricamente todo el tráfico entrante a esta red debe ser de alguna manera malicioso ya que nada legítimo debería ser enrutado hacia ella. El tráfico entrante provendrá por tanto de los escaneos automáticos generados por herramientas específicas, o por malware en busca puertos con servicios vulnerables asociados.

Aprovechando esta infraestructura, los chicos de Team Cymru han analizado los escaneos que se realizan sobre puertos SCADA conocidos. Conviene recordar aquí que en la actualidad se utiliza Internet como una solución cada vez más habitual para la interconexión de los sistemas de control de las infraestructuras críticas. Esta solución es una alternativa barata y simple con respecto a las cerradas y caras soluciones utilizadas tradicionalmente (fibra, radio y microondas, módems dedicados, satélite, red telefónica básica, telefonía móvil, etc.)

El tráfico monitorizado es el asociado a los puertos udp/20000 (DNP3 con IPSec), tcp/502 (Modbus), udp/2222 y tcp-udp/44818 (PLCs de Rockwell con protocolos propietarios). Esto permite cubrir una gran parte del tráfico de SCADA aunque existen otros protocolos de interés que no se han tenido en cuenta en el estudio, como por ejemplo el IEC 60870.5 en su versión sobre TCP/IP (IEC-104).

En la anterior figura se pueden ver los focos de principal actividad de escaneo de puertos relacionados con sistemas SCADA. Conviene resaltar dos cosas, la intensa actividad con origen en el sureste asiático (principalmente china) y también la clara contribución de España a este tráfico malicioso. Como se destaca en el estudio, el responsable último del ataque no tiene por qué estar detrás de estos focos de actividad. De hecho es altamente probable que se trate de PC's infectados y controlados por mafias o cibercriminales. Hay que tener en cuenta que China es la región con la mayor concentración de Windows sin licencia original, lo que se traduce en una mayor probabilidad de que estén sin parchear y por ende de ser infectados por algún software malicioso.

Si bien es cierto que el estudio descarta analizar el tráfico para tcp/20000 o recalca la baja utilidad de los resultados asociados con tcp-udp/44818 no dice nada respecto a la validez del resto de estadísticas presentadas. Al no monitorizarse las conexiones a determinados puertos y no hacerse un análisis más detallado que identifique cada protocolo SCADA, es probable que también estas estadísticas estén distorsionadas por el ruido proveniente de otras fuentes de tráfico (por ejemplo, gusanos que nada tienen que ver con SCADA). Esto último quizás sea la principal pega que se le puede poner al artículo. ¿Vosotros qué pensáis?

Para saber más sobre el estudio podéis descargaros el documento completo desde aquí.

Elyoenai Egozcue

S21sec labs

Códigos de barras para el reconocimiento facial

Otras veces ya hemos hablado del uso de sistemas biométricos basados en el reconocimiento facial como sistemas de autenticación. Pese a que los sistemas de reconocimiento facial han mejorado mucho desde el uso transformaciones matemáticas de las matrices que representan la imagen pasando al uso de modelos 3D, el reconocimiento de caras sigue siendo todo un reto para el análisis de imágenes. Sin embargo, una cara no es sólo algo que identifica a una persona sino que además aporta gran cantidad de información sobre ella como puede ser información sobre el sexo o la edad.

Como he dicho antes, algo que nos puede parecer una cosa tan simple y cotidiana como ubicar y reconocer una cara es un problema muy complejo. No obstante, la primera fase, en la que la información visual se procesa en nuestro cerebro se cree que es mucho más simple y que está relacionada con la extracción de información contenida en líneas horizontales.

Un reciente estudio publicado por investigadores de dos universidades británicas muestra cómo la simetría de la cara hace que la información necesaria para distinguir una cara se centre en franjas horizontales que actúan de modo similar a la de los códigos de barras. Estos códigos de barras recogen información suficiente para permitir diferenciar una cara de otros objetos en imágenes compuestas y también recogen información relativa a las peculiaridades de la cara concreta. Por tanto, estos códigos de barras también pueden ser utilizados para la identificación de la cara. Esta nueva propuesta para el procesado a bajo nivel de las imágenes y obtención de características puede que sea una alternativa que ayude a mejorar el rendimiento de los actuales sistemas biométricos de reconocimiento facial.

Guzmán Santafé
S21sec labs

Bajando las temperaturas. (II)

Como se comentó en el post anterior, existen distintos métodos para establecer sistemas de congelación y recuperación inmediata de los sistemas.

Recordando los sistemas que habíamos enumerado tenemos:

• Gestión de imágenes
• Congelación (Hardware)
• Congelación (Software)
• Virtualización

Hay que tener muy en cuenta el ámbito de despliegue de estos sistemas, ya que cada sistema cuenta con limitaciones que los convierten en soluciones inviables para ciertos entornos.

Los sistemas de gestión de imágenes tienen dos utilidades o niveles de aplicación. El primero es el despliegue para múltiples equipos de sistemas, configuraciones, software, etc. y el otro es la carga del sistema a través de una imagen. Estos últimos se basan en la sincronización con la imagen para recuperar el estado de trabajo óptimo.

Estos sistemas no son aptos para entornos multiusuario con muchos equipos, ya que la sincronización genera gran cantidad de tráfico y al ser necesario la carga de la imagen en cada inicio de sesión, se puede producir sobrecarga en la red. Tampoco es viable para entornos con dispositivos móviles o con entornos con problemas de conectividad.

El ejemplo particular es el de una universidad o instituto en el que a cada cambio de clase, hay que sincronizar los equipos. Un buen entorno estaría formado por equipos en los que sólo se cargue el sistema al arrancar y se eviten las situaciones de reinicios constantes como por ejemplo, cambios de usuarios, acciones invasivas o arriesgadas en los equipos que fuercen los reinicios, etc.

Con respecto a la congelación por hardware, el ámbito se define para entornos con pocos equipos. Esta protección sólo es viable cuando se quiere proteger un número muy pequeño de equipos, debido al coste de los dispositivos de congelado. Un entorno perfecto para este tipo de sistemas podría ser dentro de un laboratorio de pruebas de seguridad informática. Se trabaja con dispositivos PCI, PCMCIA y USB.

La congelación por software, es una solución casi diseñada para colegios, universidades y cibers, aunque el ámbito se hace extensible a todos los campos. Este software por norma general, permite la configuración de perfiles, tiene una capacidad de reacción rápida, ya que sólo con reiniciar ya está listo el equipo. Realmente este tipo de aplicaciones funciona de forma similar a los sistemas de gestión de imágenes. Lanzan un sistema operativo que está congelado y almacenan en una partición externa los cambios, pudiendo aplicarlos en caso necesario.



La virtualización, como ya se ha comentado anteriormente, genera un gran consumo de recursos, ya sea en un servidor de máquinas virtuales o el tener descentralizada la gestión y disponer de las máquinas virtuales en local. Existen ciertas limitaciones a nivel de hardware con el trabajo en este estilo de plataformas, generalmente a nivel de aceleración gráfica, rendimiento, seguridad, los problemas inherentes al sistema (existen fallos/bugs en las propias máquinas virtuales).

Resulta una buena solución para probar cosas puntuales en situaciones extremas o diseñar entornos que por sus necesidades físicas, no se pueden plantear en la realidad. Dentro de este campo, nos podemos encontrar con sistemas de virtualización de entornos y redes, perfectas para diseñar entornos complejos.

El ámbito real de estos sistemas también es muy grande, desde entornos domésticos, entornos de desarrollo, laboratorios de seguridad, etc.

Existe la posibilidad de generar sistemas alternativos. El uso de tecnologías de cluster, con la finalidad de montar una imagen del sistema ya sea dentro de sistemas centralizados o el propio equipo cliente. El uso de las características de los sistemas *NIX configurando permisos y cargando imágenes de sólo lectura.

El límite está en la imaginación del que los implante y en los recursos de los que disponga.

Juan Manuel Sanesteban

S21sec labs