Es importante tener en cuenta que las redes sociales se nutren exclusivamente de datos de carácter personal de sus usuarios, y en muchas ocasiones, sin que éstos conozcan y controlen los posibles accesos y el uso que terceros pueden hacer de los mismos.
Como bien es sabido, la finalidad prioritaria de las redes sociales es interrelacionar a personas, por lo tanto como punto de partida, los datos de contacto (por lo menos nombre, apellido y nacionalidad) están accesibles a todo el mundo con el objeto de facilitar la localización de amigos o conocidos. El problema surge cuando el usuario, que se registra en una red social, no es informado de manera clara y sencilla del tratamiento que se puede realizar sobre sus datos.
Las redes sociales, están basando la confidencialidad / privacidad de los datos de sus usuarios en la autorregulación que los usuarios realizan sobre los mismos. Esta técnica es válida e incluso recomendable, pero, para que de verdad los usuarios la usen de forma correcta, los portales deben informar de las diferentes reglas de confidencialidad de manera clara, fácil y sencilla, consiguiéndose así que cada usuario sea el que autorice o posibilite la publicación o no de sus datos personales, fotos privadas, videos, etc. En caso contrario estarían incumpliendo las normativas europeas en la materia de protección de datos, ya que desde la directiva Europea se establece que “los interesados a los que se soliciten datos personales deberán ser previamente informados de modos expreso, precioso e inequívoco (…)”.
Otro aspecto controvertido es la indexación de los datos identificativos en buscadores como google, yahoo, live.com, etc. Esta indexación supone una cesión de los datos identificativos de los usuarios a nivel mundial sin que el usuario tenga la más mínima posibilidad de impedir que este paso se lleve a cabo, ya que nadie le solicita su previa autorización. El portal informa acerca de dicha indexación, pero en ningún momento facilita al usuario la posibilidad de negarse a dicha indexación.
Desde las principales redes sociales se destaca la importancia que juega el papel del usuario, en definitiva cada usuario es responsable de gestionar su propia privacidad. Además de centrar la importancia en el usuario también destaca la formación de padres y usuarios de las redes sociales, la colaboración con las Administraciones Públicas y las ‘medidas de seguridad especiales’ para los menores de edad. Como por ejemplo, los usuarios de entre 13 y 16 años no pueden recibir ninguna comunicación de un mayor que no éste en su lista de contactos.
En conclusión y tras este pequeño análisis de los tratamientos de datos que se realizan en las redes sociales, es recomendable que el usuario analice con detenimiento las opciones de privacidad que el portal pone a su disposición con objeto de administrar su privacidad y que tenga en cuenta el riesgo que corren sus datos por el mero hecho de publicarlos en Internet. Hace un tiempo publicamos unos consejos para proteger tu intimidad en redes sociales, echarle un vistazo.
Koldo Peciña Txintxurreta
Consultor Senior S21sec.
Buscadores: arma de doble filo
Los buscadores son los servicios más usados en Internet con diferencia y en la actualidad podemos afirmar que se han hecho totalmente imprescindibles dada la necesidad que tenemos de procesar la ingente cantidad de datos que encontramos en la red. No obstante y desde hace algún tiempo, han pasado a ser el objetivo de atacantes para usarlos con fines bien distintos.
Ya hablamos de técnicas como el malvertising, consistente en insertar anuncios maliciosos dentro de las redes de publicidad que se muestran en distintas webs, con el fin de infectar el equipo que visualiza el anuncio. Este tipo de técnicas amenazan el principal negocio de los buscadores, que es la publicidad, por lo que empresas como Google ya están empezando a ofrecer soluciones a este problema.
Otro de los problemas a los que se enfrentan en la actualidad los buscadores es el BlackHat SEO (Search Engine Optimization). Este término hace referencia a posicionar términos comunes asociados a URLs maliciosas en los principales buscadores, de modo que cuando accedamos a los resultados pensando que se trata de una URL legítima, se infecte nuestro equipo. Básicamente es usar las mismas técnicas que usa cualquier empresa para posicionarse en buscadores, pero con fines maliciosos y usando técnicas ilegales, como inyectar miles de URLs en páginas legítimas mediante alguna vulnerabilidad, SPAM en servicios como Twitter, etc.
No obstante el post de hoy habla de una de las técnicas más antiguas, el Google-hacking, que parece vivir una segunda juventud. Google-hacking consiste en la búsqueda de ciertos términos en cualquier buscador (son extrapolables dependiendo de la funcionalidad que ofrece cada uno de ellos) con la finalidad de detectar versiones de software vulnerables o vulnerabilidades en sí. De este modo, la búsqueda de una cadena que sepamos aparece cuando hay un error de SQL en un conocido CMS nos retornará miles de potenciales objetivos a explotar.
Tuvo un gran impacto en su momento para quedar en la actualidad en un segundo plano. No obstante está volviendo a ser una técnica muy usada para la realización de ataques masivos en campañas de infección masivas, inyectando en URLs vulnerables iframes que redirijan a sitios maliciosos, o buscando objetivos para campañas de BHSEO.
Finalmente, y en lo referente al mercado más under, estas técnicas siguen siendo explotadas, en esta ocasión para obtener números de tarjetas de crédito. En la actualidad este tipo de bienes tiene un valor muy bajo en el mercado, que maltrata el bien al revenderlo en multitud de ocasiones y debido al alto grado de fraude entre los mismos delincuentes. Es por ello que hay distintos niveles de calidad, siendo circulos cada vez más cerrados los que ofrecen material de primera mano. En los circulos más bajos, y dada la dificultad a acceder a dicho material, se buscan alternativas a la compras de dumps (conjuntos de números de tarjetas de crédito) que posiblemente son inusables a estas alturas. Una de las alternativas es volver a las técnicas
de Google-hacking.
La popularización de todo tipo de herramientas para la creación de tiendas on-line crea un mercado potencial muy amplio para la búsqueda de vulnerabilidades que puedan llevarnos a encontrar datos relacionados con la compra, esto es, tarjetas de crédito. A continuación se muestran algunas de las técnicas usadas para localizar los mismos:
Por supuesto recomendamos comprobar que ninguno de nuestros sitios sea vulnerable a los problemas relacionados con las búsquedas, así como mantenerse atento a cualquier nueva vulnerabilidad y a las técnicas utilizadas para su detección.
Vicente Díaz
S21sec e-crime
Análisis automático de VMs?
Últimamente me he interesado bastante por los métodos de ofuscación basados en máquina virtual ( VM ) y sobre todo por su creciente uso en el mundo del malware, quizás lo más "novedoso" desde la creación de algunos de los mejores engines de metamorfismo: zmist & simile.
Las VMs son sencillas en su concepto inicial, la complejidad depende de la imaginación del autor, el contexto y la finalidad. Debido a su propia naturaleza, son métodos de ofuscación puros y como pasa con el resto de métodos la dificultad de su análisis radica en "cuanto tiempo vas a tardar?". En esta presentación de un conocido reverser se puede ver una pequeña introducción gráfica.
Si estuviéramos en los días de oro de los virus con mochila de engines, una VM hubiera sido una pesada compañera de viaje y poco habría ayudado a su amigo el engine de metamorfismo para evadir la heurística de los Antivirus.
A día de hoy el tema ha cambiado bastante y la gran mayoría del malware no se replica por infección clásica, sino que simplemente se hospeda en nuestra máquina, mediante nuestro navegador favorito, como un binario fresco gracias al uso de server-side polymorphism.
En este contexto el uso de VMs se vuelve muy poderoso puesto que su único objetivo es el de dificultar al máximo el trabajo del analista de turno que debe comprender que hace el bicho, una vez ha sido detectado. Así pues, cuantas más rutinas críticas estén gestionadas por la VM, más tiempo tardará el analista, más dinero se robará y más máquinas quedarán comprometidas.
El autor del malware solo tiene que programar su generador de VMs y comienza la pesadilla.
Esta situación ha dado lugar a la necesidad de buscar formas "automáticas" de análisis de VMs, surgiendo documentos y presentaciones muy interesantes en el último año. De todos los documentos que he visto estos son los que me han parecido más relevantes o que más me han gustado:
- la serie de artículos de Rolf Rolles en los que se muestra como utilizar técnicas de optimización, adaptadas del mundo de los compiladores, para atacar a la VM: "Compiler 1, X86 Virtualizer 0", "Part 0: Basics", "Part 1: Bytecode and IR", "Part 2: Introduction to Optimization" y "Part 3: Optimizing and Compiling".
- un ejemplo de optimización de un handler correspondiente a una VM generada por Themida. Gracias a la información de Rolf Rolles, el autor del post muestra la potencia que puede tener un desofuscador básico y pequeño: "Fighting Oreans'VM (code virtualizer flavour)".
- presentación de Boris Lau ( SophosLabs ) en la que se expone un método experimental para la identificación y desofuscación de VMs: "Dealing with Virtualization packer".
- uno de los que he leído recientemente y me ha parecido muy bueno, de los autores de metasm, se explica paso a paso como han utilizado su framework para resolver un reto crackme que incorpora VM: "Semi-automatic binary protection tampering".
Los que estéis más interesados en ver los detalles técnicos de VMs reales, sobre todo las generadas por algunos de los packers más conocidos, podéis encontrar algo de información en la web de ARTeam (destacan los documentos y código de Deroko) y el foro chino Unpack.cn.
Espero que todos los enlaces que he puesto os ayuden a conocer mejor un tema que a mí, particularmente, me parece muy interesante :)
Rubén Jiménez
S21sec e-crime
Sé lo que estás pensando
Desde que en 1999 se realizó la primera demostración experimental donde a través de neuronas corticales se conseguía controlar un brazo robótico [1], la interacción cerebro-máquina (BMI o brain-machine interface) ha sido un área de creciente estudio entre la comunidad científica.
Las BMIs han sido concebidas principalmente para potenciar nuevas terapias en la restauración del sistema motor en pacientes con lesiones severas tales como la esclerosis lateral amiotrófica, daños en la médula espinal o parálisis cerebral. Recientes estudios muestran avances en la restauración de miembros amputados mediante dispositivos protésicos controladas por el sistema nervioso [2] y la posibilidad de comunicarse mediante impulsos eléctricos generador por el cerebro sin necesidad de utilizar el aparato fonador [3].
Al margen de las aplicaciones terapéuticas, ¿a alguien se le ha ocurrido otros usos?. Parece que sí, comenzando por las artes, donde se propone el uso del cerebro para la creación de música y el control de instrumentos musicales [4]. La industria del videojuego no podía quedarse atrás y busca nuevas interfaces para sus videoconsolas en las que utilizar los impulsos cerebrales para interactuar directamente con el juego. Un ejemplo de ello es la compañía Emotive Systems quienes prometen próximamente el control y manipulación de objetos o cambios del entorno dentro de un videojuego de acuerdo a tu estado emocional.
Las BMIs han sido concebidas principalmente para potenciar nuevas terapias en la restauración del sistema motor en pacientes con lesiones severas tales como la esclerosis lateral amiotrófica, daños en la médula espinal o parálisis cerebral. Recientes estudios muestran avances en la restauración de miembros amputados mediante dispositivos protésicos controladas por el sistema nervioso [2] y la posibilidad de comunicarse mediante impulsos eléctricos generador por el cerebro sin necesidad de utilizar el aparato fonador [3].
Al margen de las aplicaciones terapéuticas, ¿a alguien se le ha ocurrido otros usos?. Parece que sí, comenzando por las artes, donde se propone el uso del cerebro para la creación de música y el control de instrumentos musicales [4]. La industria del videojuego no podía quedarse atrás y busca nuevas interfaces para sus videoconsolas en las que utilizar los impulsos cerebrales para interactuar directamente con el juego. Un ejemplo de ello es la compañía Emotive Systems quienes prometen próximamente el control y manipulación de objetos o cambios del entorno dentro de un videojuego de acuerdo a tu estado emocional.
Hasta ahora hemos visto aplicaciones para mejorar nuestra calidad de vida en un futuro no muy lejano. Sin embargo, la industria militar está al tanto de estos avances [5] y el gobierno estadounidense invertirá cuatro millones de dólares para comenzar el programa "Silent Talk" cuya meta principal es permitir una comunicación entre militares dentro del campo de batalla sin la necesidad de usar el habla vocalizada mediante el análisis de la señal neuronal. Aunque en estado embrionario, existen estudios para leer la mente humana con el objetivo de interrogar a enemigos, saber en qué están pensando y si mienten.Si estas metas se consiguen, ¿dónde quedan los derechos de privacidad de un individuo si consiguen leer nuestras mentes?, ¿comenzará un nuevo modelo de hacking biomecánico?
Desde el punto de vista de la seguridad digital debemos tener en mente los nuevos avances en neurocomputación biológica para adelantarnos a futuras amenazas.
Referencias:
- Real-time control of a robot arm using simultaneously recorded neurons in the motor cortex. John K. Chapin et al. Nature Neuroscience 2, 664 - 670 (1999)
- Neuronal ensemble control of prosthetic devices by a human with tetraplegia. Leigh R. Hochberg et al. Nature 442, 164-171 (2006)
- A spelling device for the paralysed. Birbaumer, N. et al. Nature 398, 297-298 (1999)
- Mental ways to make music. Cane and Alan. Financial Times, London (UK), 22 April 2005, p12.
- Emerging Cognitive Neuroscience and Related Technologies. The National Academy Press (2008)
Israel Varea
S21sec e-crime
Ataques sobre el nivel 2 del modelo OSI (VII): 802.1Q
El protocolo IEEE 802.1Q es una especificación pública. Describe el formato de los paquetes que pasan por enlaces de trunking. Debido a la naturaleza abierta de la especificación, este estándar se encuentra ahora aceptado por la mayoría de los fabricantes y es la manera común de establecer trunks entre switches de distintos fabricantes. Sin embargo, no es el único protocolo. Algunos fabricantes tiene su propia solución. Por ejemplo, Cisco usa su protocolo propietario ISL (Inter-Switch Link).
Cuándo un switch recibe una trama, añade una marca 802.1Q (4 bytes), recalcula el FCS (Frame Check Sequence) y envía la trama original con las modificaciones por el enlace de trunking. El campo VID identifica la VLAN a la que pertenece el paquete. Este identificador puede variar entre 0 y 4096. Teóricamente, si hemos establecido el trunking y el switch soporta 802.1Q, podremos enviar paquetes a VLANs distintas.
Para utilizar 802.1Q es obligatorio tener establecido un trunk. En la sección anterior hemos visto con DTP y, además, especificar el encapsulamiento que se llevará a cabo con 802.1Q. Supongamos, entonces, que el enlace de trunk ha sido establecido en el puerto correspondiente. Los ataques contra 802.1Q pueden dividirse en dos clases:
Yersinia usa 802.1Q para enviar paquetes ICMP Echo Request con el payload YERSINIA. Se puede apreciar perfectamente que hemos enviado un paquete 802.1Q doblemente encapsulado – primero con la VLAN 16 y finalmente con la VLAN 1.
Cuándo un switch recibe una trama, añade una marca 802.1Q (4 bytes), recalcula el FCS (Frame Check Sequence) y envía la trama original con las modificaciones por el enlace de trunking. El campo VID identifica la VLAN a la que pertenece el paquete. Este identificador puede variar entre 0 y 4096. Teóricamente, si hemos establecido el trunking y el switch soporta 802.1Q, podremos enviar paquetes a VLANs distintas.
Para utilizar 802.1Q es obligatorio tener establecido un trunk. En la sección anterior hemos visto con DTP y, además, especificar el encapsulamiento que se llevará a cabo con 802.1Q. Supongamos, entonces, que el enlace de trunk ha sido establecido en el puerto correspondiente. Los ataques contra 802.1Q pueden dividirse en dos clases:- enviar tramas 802.1Q con el fin de enviarlas a VLANs no pertenecientes al atacante,
- uso de tramas 802.1Q doblemente encapsuladas – este tipo de ataque añade dos marcas al paquete original con el propósito de utilizar la VLAN de la segunda marca como destino, una vez que el switch ha eliminado la primera marca.
Yersinia usa 802.1Q para enviar paquetes ICMP Echo Request con el payload YERSINIA. Se puede apreciar perfectamente que hemos enviado un paquete 802.1Q doblemente encapsulado – primero con la VLAN 16 y finalmente con la VLAN 1.
Paquete ICMP Echo Request de Yersinia decodificado con EtherealEste ataque sólo demuestra que podemos inyectar tráfico a otras VLANs (esto es conocido como VLAN-hopping). Sin embargo se pueden realizar ataques más sofisticados, tipo Man-in-the-Middle.
Ethernet II, Src: 66:66:66:66:66:66, Dst: ff:ff:ff:ff:ff:ff
Destination: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Source: 66:66:66:66:66:66 (66:66:66:66:66:66)
Type: 802.1Q Virtual LAN (0x8100)
802.1q Virtual LAN
111. .... .... .... = Priority: 7
...0 .... .... .... = CFI: 0
.... 0000 0001 0000 = ID: 16
Type: 802.1Q Virtual LAN (0x8100)
802.1q Virtual LAN
111. .... .... .... = Priority: 7
...0 .... .... .... = CFI: 0
.... 0000 0000 0001 = ID: 1
Type: IP (0x0800)
Internet Protocol, Src Addr: 10.0.0.1 (10.0.0.1), Dst Addr: 255.255.255.255 (255.255.255.255)
Protocol: ICMP (0x01)
Source: 10.0.0.1 (10.0.0.1)
Destination: 255.255.255.255 (255.255.255.255)
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Checksum: 0xb953 (correct)
Identifier: 0x0042
Sequence number: 00:42
Data (8 bytes)
0000 59 45 52 53 49 4e 49 41 YERSINIA
Alfredo Andrés
David Barroso
S21sec e-crime
Participación en el NiSSF09 Forum
La semana pasada estuvimos como participantes en el forum NiSSF 09, presentando nuestra visión del tema "Monitorización de seguridad en entornos Scada". Daniel ha escrito un resumen del fórum.
Aunque a la conferencia asistieron entre otros C4, Byres security, Waterfall, Siemens y Motorola, e incluso el Department of Homeland Security tuvo un hueco, no fue la típica conferencia de intercambio de tarjetas, sino de conocimiento, hasta tal punto que ni siquiera existe una web de referencia.
Lo bueno de la conferencia es que parecía uno de los pocos sitios en los que se puede hablar de SCADA sin tener que explicar qué es la seguridad, y viceversa, ya que la gente compartía experiencias en los dos campos.
S21sec labs
Aunque a la conferencia asistieron entre otros C4, Byres security, Waterfall, Siemens y Motorola, e incluso el Department of Homeland Security tuvo un hueco, no fue la típica conferencia de intercambio de tarjetas, sino de conocimiento, hasta tal punto que ni siquiera existe una web de referencia.
Lo bueno de la conferencia es que parecía uno de los pocos sitios en los que se puede hablar de SCADA sin tener que explicar qué es la seguridad, y viceversa, ya que la gente compartía experiencias en los dos campos.
S21sec labs
GRC: Governance Risk & Compliance (y II)
En otro post comentamos de manera genérica los motivos que habían llevado a la creación de unas siglas que cada día suenan más entre las tecnologías de seguridad de la información: GRC, Governance Risk & Compliance.
Hoy prefiero acercarme un poco más al caso real, al que ocurre en la calle. Aunque en España la presión reguladora no es tan intensa, que levante la mano quien, de alguna manera, se identifique con la siguiente historia.
Hoy prefiero acercarme un poco más al caso real, al que ocurre en la calle. Aunque en España la presión reguladora no es tan intensa, que levante la mano quien, de alguna manera, se identifique con la siguiente historia.
Un buen día, tras una auditoría o, simplemente, una noticia en los medio, el jefe jefazo de la compañía X se hace consciente de que tiene que cumplir con tal o cual normativa. Mejor dicho se hace consciente de qué puede ocurrir si no cumple con ella, pero para el caso es lo mismo. Lo que ocurre es que unos cuantos, sobre todo gente de sistemas, tienen que volverse locos durante varios meses organizando e involucrando a mucha gente para conseguir alcanzar ese cumplimiento. En esta fase, ése es el único objetivo: cumplir.
Entonces hay que averiguar qué hace falta para cumplir. Y la respuesta inicial es medio sencilla "presentar informes de cumplimiento". Así que toca averiguar cómo generarlos, alimentarlos, etc... Hay que reunirse con más gente y tomar notas, pero al final la cosa sale adelante. El objetivo, que ahora es generar informes de cumplimiento, se consigue.
Pero al cabo de unos cuantos informes, otro se da cuenta de que es una labor repetitiva, tediosa, que la gente no se involucra lo suficiente... En definitiva, un incordio. Pero, como todo el mundo sabe, las labores repetitivas y tediosas son la especialidad de los ordenadores. Ahora lo que hay que conseguir es que los trastos, ellos solos, hagan la mayor parte del trabajo. El objetivo entonces es automatizar.
Y en ese momento, uno vuelve la vista atrás, y se da cuenta de que para cumplir todo eso ha tenido que involucrar personas, sistemas y asignar recursos hasta el punto de que, en cierto grado, ha cambiado la manera de hacer las cosas en la compañía.
Pues bien, lo que ofrecen las soluciones GRC es, precisamente, recorrer el camino contrario. Es decir, si tan importante es cumplir con la normativa, y llevar a cabo los controles, por qué no empezar planteándolo desde arriba, desde la misma estrategia empresarial.
El proceso, sin duda, es largo y complicado. Pero hay mucha gente en las altas esferas a las que les seduce la idea.
Por mi parte no tengo ninguna duda al respecto, vamos a oír hablar mucho de todo esto.
Luis Tarrafeta
S21sec labs
Entonces hay que averiguar qué hace falta para cumplir. Y la respuesta inicial es medio sencilla "presentar informes de cumplimiento". Así que toca averiguar cómo generarlos, alimentarlos, etc... Hay que reunirse con más gente y tomar notas, pero al final la cosa sale adelante. El objetivo, que ahora es generar informes de cumplimiento, se consigue.
Pero al cabo de unos cuantos informes, otro se da cuenta de que es una labor repetitiva, tediosa, que la gente no se involucra lo suficiente... En definitiva, un incordio. Pero, como todo el mundo sabe, las labores repetitivas y tediosas son la especialidad de los ordenadores. Ahora lo que hay que conseguir es que los trastos, ellos solos, hagan la mayor parte del trabajo. El objetivo entonces es automatizar.
Y en ese momento, uno vuelve la vista atrás, y se da cuenta de que para cumplir todo eso ha tenido que involucrar personas, sistemas y asignar recursos hasta el punto de que, en cierto grado, ha cambiado la manera de hacer las cosas en la compañía.
Pues bien, lo que ofrecen las soluciones GRC es, precisamente, recorrer el camino contrario. Es decir, si tan importante es cumplir con la normativa, y llevar a cabo los controles, por qué no empezar planteándolo desde arriba, desde la misma estrategia empresarial.
El proceso, sin duda, es largo y complicado. Pero hay mucha gente en las altas esferas a las que les seduce la idea.
Por mi parte no tengo ninguna duda al respecto, vamos a oír hablar mucho de todo esto.
Luis Tarrafeta
Cursos de verano de la Universidad de Salamanca
Del 8 al 10 de julio tendrán lugar los cursos de verano de la Universidad de Salamanca, en los que tenemos el placer de participar con una ponencia en la que se presentarán los entresijos del cibercrimen, exposición que tendrá lugar durante el tercer día de este evento.
Además, habrá otras muchas charlas muy interesantes, como la que tratará las implantaciones y un análisis de los CAPTCHA, por parte de Alejandro Ramos, o la anatomía de una intrusión malware por parte de Pedro Sánchez, entre otras, además de un reto sobre seguridad WiFi por las calles de Salamanca.
Además, habrá otras muchas charlas muy interesantes, como la que tratará las implantaciones y un análisis de los CAPTCHA, por parte de Alejandro Ramos, o la anatomía de una intrusión malware por parte de Pedro Sánchez, entre otras, además de un reto sobre seguridad WiFi por las calles de Salamanca.
Tenéis toda la información disponible en el siguiente link:
http://www.informatica64.com/CursoDeVeranoSalamanca
¡Nos vemos allí!
Mikel Gastesi
S21sec e-crime
S21sec blog ahora en tu e-mail
Durante estos más de dos años de vida del blog de S21sec, hemos hablado con muchos de vosotros, y a menudo nos habéis comentado que otra forma interesante para estar al tanto del blog es recibir un correo electrónico con los posts diarios en vez de leer el blog a través de RSS o accediendo a la página web.
Por eso, y gracias al servicio ofrecido por Feedburner (desde hace un tiempo Google), os podeís suscribir al blog (fijaos en la caja que aparece a la derecha) con la dirección de correo electrónico de vuestra preferencia, y todos los días a partir de las 17:00 os llegará un correo con todos los posts nuevos. ¡Más fácil imposible!
Por ahora sólo estará disponible en nuestro blog en castellano, pero si la iniciativa tiene éxito, también lo haremos en nuestro blog en inglés.
¿Qué os parece la idea? ¿Cuál es vuestra forma preferida de seguir nuestro blog?
Generalización de ataques tipo cross site scripting contra móviles y páginas de redes sociales
Tal y como adelantaba en mi último post, los principales objetivos a la hora de intentar explotar vulnerabilidades este año iban a ser los dispositivos móviles, y la generalización de ataques tipo cross site scripting contra páginas web con uso cada vez más habitual como Youtube o Facebook. Para justificar esto me basaba en la evolución del número y tipo de ataques a lo largo de este semestre.
Se ha generalizado el uso de los troyanos para explotar problemas en dispositivos móviles y vulnerabilidades que utilizan código malicioso para infectar sesiones web de usuarios utilizando redes sociales como Facebook, YouTube o Twenty haciendo que la velocidad de propagación aumente considerablemente.
Respecto a los problemas provocados en los móviles no hablamos de vulnerabilidades que hayan nacido para estos dispositivos, sino de ataques ya conocidos que se han mejorado o nuevas vías de ataque a través de programas para sincronizar datos entre nuestro PC y el móvil. El objetivo sigue siendo el mismo: robo de datos personales, replicación a traves de los contactos, mal funcionamiento del dispositivo.
Cabe destacar que a pesar del gran número de terminales móviles con los que operamos diariamente y lo dependientes que somos de ellos, es sorprendente la poca atención que prestamos a la seguridad de los mismos. ¿Será por la escasa concienciación de los riesgos a los que estamos sometidos?
Es sorprendente que prestemos tanta atención a la seguridad de los ordenadores personales y descuidemos la seguridad de los dispositivos móviles que operan con ellos. La mayoría de nosotros tenemos especial cuidado que nuestros ordenadores tengan el antivirus actualizado, no abrimos ficheros de fuentes desconocidas, incluso usamos frecuentemente software para evitar troyanos o cookies, en cambio, si se trata de dispositivos móviles pensamos que no van a ser afectados, o si lo son, los daños serían mínimos pues olvidamos toda la información sensible que llevamos en estos dispositivos: datos personales, contactos, claves, banca electrónica.
Para minimizar este tipo de riesgos sería recomendable tomar las siguientes precauciones:
·No activar el Bluetooth o IRDA, excepto cuando sea necesario.
·No aceptar la transferencia de archivos si el origen de los mismos no es de confianza.
·Utilizar diferentes contraseñas para el inicio y para el acceso a datos importantes.
·Tratar de tener actualizado el dispositivo, tanto su SO como las aplicaciones.
·Si se guarda cierta información confidencial es mejor cifrarla antes.
·Al igual que con los PC personales es aconsejable realizar copias periódicas de los datos.
·En el caso de las empresas, se deberían definir políticas de seguridad para el uso y mantenimiento de este tipo de dispositivos como BlackBerry o PDAs.
A pesar de que las infecciones vía web no son algo nuevo, la aparición de páginas como YouTube, Facebook, Twenty, y similares han motivado la aparición de herramientas como Youtube Fake Creator que permite crear páginas idénticas a las originales y desde las cuales se logra engañar al usuario para conseguir que se descargue lo que supuestamente sería un códec para ver un video cuando, realmente, se está descargando un archivo que incluye código malicioso o, quizás, mediante algún exploit, infectarse con tan solo acceder a la página poniendo en peligro su PC y, quizás, hasta sus datos financieros.
Una nueva fuente de infecciones surge por el hecho de que, páginas de las denominadas “redes sociales” como MySpace, permiten el intercambio de cualquier tipo de ficheros entre los usuarios que, unido a la facilidad de utilizar técnicas de ingeniería social en la que el atacante puede lograr ganarse la confianza de sus víctimas. Este tipo de ataques es cada vez más habitual.
Algunas páginas ya han comenzado a incluir ciertas recomendaciones de seguridad como, por ejemplo:
·No aceptar ficheros ejecutables sin tener clara la procedencia o efecto del mismo.
·Disponer de un antivirus actualizado.
·No descargar codecs de origen desconocido para visualizar ficheros multimedia.
·Realizar periódicamente copias de respaldo de los datos importantes.
·Cifrar la información más sensible de nuestro disco duro.
Estas serían las medidas mínimas que se deberían adoptar para evitar males mayores, pero, sin una campaña de concienciación para promover cambios en los hábitos de seguridad de los usuarios -y unas buenas políticas por parte de los proveedores de este tipo de páginas y servicios- este tipo de problemas continuarán aumentando.
Patxi Irisarri
S21sec e-crime
Lanzamos nuestro CERT con funcionalidades añadidas de inteligencia
La semana pasada lanzamos oficialmente al público nuestros servicios como CERT(R) (es decir, como Equipo de Respuesta ante Incidentes de Seguridad Informática - más conocido por su acrónimo en inglés, CSIRT - acreditado por la Carnegie Mellon University como propietaria de dicha marca).
Hace casi un año que empezamos a trabajar en esta línea y parece que finalmente ha dado sus frutos. Cuando analizamos los servicios que podían considerarse parte de un CERT (ver RFC 2350) allá por el verano pasado, nos dimos cuenta de que prácticamente todos ya los veníamos prestando como compañía con la diferencia de que no estábamos organizados como tal equipo. Sin embargo, contábamos con algunos factores a nuestro favor como la introducción de nuestro Centro de Operaciones de Seguridad hace ya 3 años que había cambiado nuestra mentalidad hacia el servicio y la gestión de incidentes y, en paralelo, nuestros servicios antiphishing, que ahora ya son mucho más y que han dado lugar incluso a una unidad de negocio dentro de S21sec, e-crime.
Lo cierto es que este proceso ha sido, por una parte muy sencillo en cuanto a nuestra capacitación para prestar este tipo de servicios (incluyendo la formación específica en gestión de incidentes y nuestra certificación como SEI Partner) pero, por otra, bastante complicado en cuanto al cambio organizativo necesario, de ahí, lo que nos ha llevado finalizar el proyecto.
En cualquier caso, durante la ejecución del proyecto nos dimos cuenta de que podíamos ir un poco más allá y, por eso, a todos los servicios típicos de un CERT, les hemos añadido una capa de inteligencia con la que pretendemos aportar a nuestros clientes todo el conocimiento y experiencia que hemos adquirido durante estos años y una vía adicional para canalizar el valor de nuestro esfuerzo en innovación (más conocido como S21sec labs). Básicamente, estos servicios de inteligencia consisten en el tratamiento y análisis de la información a la que tenemos acceso en virtud de nuestra actividad en la gestión de incidentes para proveer a nuestros clientes de conocimiento aplicado a su negocio que le ayude en la toma de decisiones estratégicas.En definitiva, lo importante es que ya está ahí y que os invitamos a todos los que leéis este blog a visitarlo y aportarnos vuestras sugerencias, opiniones y comentarios que os agradecemos de antemano en https://cert.s21sec.com/.
Por cierto, permanecer "atentos a estas pantallas" porque pronto volveremos con nuevas noticias sobre este asunto... os adelantamos que ya estamos trabajando en nuestra incorporación a los organismos internacionales más representativos en esta materia: FIRST, TERENA...
Antonio Ramos
Compatibilidad o Seguridad, ¿por qué elegir?
Today, the overwhelming majority of enterprises support Internet Explorer--remarkably, 60 percent of enterprises are still on IE 6. "
Se trata de una afirmación de un reciente informe de Forrester, lo cuentan en CNET.
Al margen de todas las vulnerabilidades, (ver gráfica, la mayoría ya corregidas) que haya tenido IE6, lo más preocupante son las características que no tiene, cómo tabs, mayor rápidez, gestión de recursos, características de búsqueda. Microsoft ha sido el primero de los fabricantes de navegadores en desplegar protecciones contra ataques XSS. Y en esa línea ha seguido con las siguientes versiones de su navegador; IE7, IE8
Al margen de todas las vulnerabilidades, (ver gráfica, la mayoría ya corregidas) que haya tenido IE6, lo más preocupante son las características que no tiene, cómo tabs, mayor rápidez, gestión de recursos, características de búsqueda. Microsoft ha sido el primero de los fabricantes de navegadores en desplegar protecciones contra ataques XSS. Y en esa línea ha seguido con las siguientes versiones de su navegador; IE7, IE8
Estas nuevas características de seguridad son esenciales para navegar por Internet actualmente, muchas son configuraciones estándar en otros navegadores.
IE6 es conocido por ser un navegador de intranet, este es, un navegador para empresas. Algunas estadísticas muestran patrones poco estimados del incremento de IE6 durante horas de trabajo. Una de las principales razones por las que IE6 siga ejecutándose en el 60% de los entornos corporativos es por cuestiones de compatibilidad. Existiran cientos e incluso miles de razones para que esto sea así, pero este es un terreno polémico de constantes luchas políticas entre los departamentos de IT y seguridad sin mucha garantía de éxito, pero mientras tanto estamos exponiendo la seguridad de nuestros usuarios. Usuarios que por otra parte ni siquiera conocen el software de navegación que usan.
Si por cuestiones de compatibilidad necesitamos utilizar software deprecated, no tenemos por qué exponer nuestra seguridad. En este punto se hace necesario desplegar controles de defensa en profundidad, especialmente cuando no podemos controlar el software de nuestros usuarios.
Emilio Casbas
S21sec labs
Ataques sobre el nivel 2 del modelo OSI (VI): Dynamic Trunking Protocol
Veamos como se efectúa un ataque contra un switch Catalyst 2950T con IOS 12.1(22) EA3. El dispositivo se encuentra configurado con nombre zipi y dos VLANs: Office (puertos Fa0/10, Fa0/11, Fa0/12 y Fa0/13) e Internet (puertos Fa0/20, Fa0/21, Fa0/22 y Fa0/23). El dominio VTP ha sido cambiado a Yersinia. El resto de parámetros
se dejan por defecto.
En el modo GUI de Yersinia, elegimos el protocolo DTP. Si hay tráfico DTP en nuestra red no tardaremos más de treinta segundos en ver datos. También podemos echarle un vistazo al estado DTP del puerto que nos conecta al switch desde la consola del mismo: nuestro puerto es Fa0/10 y el estado es por defecto.Ahora necesitamos rellenar la ventana inferior con valores por defecto tecleando [d]. Tras esto, al presionar [e] nos permitirá modificar el campo Neighbor-ID con el valor 666666666666. Para finalizar la edición es necesario presionar [return].
Ahora, cambiamos a la ventana de ataques DTP presionando [x] y seleccionamos el ataque enabling trunking. El estado DTP del puerto cambiará a TRUNKING y Neighbor address 1 contendrá nuestro ID. Si además miramos los puertos asignados a cada VLAN como antes, veremos que nuestro puerto Fa0/10 ya no se encuentra en la lista (ver Listado 9). En la ventana principal de Yersinia veremos nuevos paquetes; los creados por Yersinia son los que tienen el campo Neighbor-ID con 666666666666. De ahora en adelante, seremos capaces de llevar a cabo ataques contra los protocolos 802.1Q y VTP. Y lo que es más importante, seremos capaces de comportarnos como otro switch lo cual hace posible acceder a tráfico de otras VLANs.
se dejan por defecto.
En el modo GUI de Yersinia, elegimos el protocolo DTP. Si hay tráfico DTP en nuestra red no tardaremos más de treinta segundos en ver datos. También podemos echarle un vistazo al estado DTP del puerto que nos conecta al switch desde la consola del mismo: nuestro puerto es Fa0/10 y el estado es por defecto.Ahora necesitamos rellenar la ventana inferior con valores por defecto tecleando [d]. Tras esto, al presionar [e] nos permitirá modificar el campo Neighbor-ID con el valor 666666666666. Para finalizar la edición es necesario presionar [return].
Ahora, cambiamos a la ventana de ataques DTP presionando [x] y seleccionamos el ataque enabling trunking. El estado DTP del puerto cambiará a TRUNKING y Neighbor address 1 contendrá nuestro ID. Si además miramos los puertos asignados a cada VLAN como antes, veremos que nuestro puerto Fa0/10 ya no se encuentra en la lista (ver Listado 9). En la ventana principal de Yersinia veremos nuevos paquetes; los creados por Yersinia son los que tienen el campo Neighbor-ID con 666666666666. De ahora en adelante, seremos capaces de llevar a cabo ataques contra los protocolos 802.1Q y VTP. Y lo que es más importante, seremos capaces de comportarnos como otro switch lo cual hace posible acceder a tráfico de otras VLANs.
Puertos de VLANs tras el ataqueLa única contramedida viable contra ataques DTP es desactivar el auto-trunking con el comando: switchport mode access. El administrador se ve entonces obligado a activar el trunking manualmente (configurando el switch) para activar cada trunk.
zipi# sh vlan
VLAN Name Status Ports
---- ----------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/24
Gi0/1, Gi0/2
100 Office active Fa0/11, Fa0/12, Fa0/13
200 Internet active Fa0/20, Fa0/21, Fa0/22, Fa0/23
Alfredo Andrés
David Barroso
S21sec e-crime
Sobre datos personales
Mucho se habla en Internet sobre la protección de los datos personales de los usuarios. Resulta frecuente encontrar información sobre riesgos y amenazas (salgo en una foto del Facebook, busco mi nombre y mira lo que aparece, cookies, perfiles, etc), pero curiosamente la mayoría de las veces refiriéndose a estos datos personales de manera abstracta o vaga, sin dar una información clara sobre a qué se están refiriendo dichas amenazas. Términos como este u otros relacionados (privacidad) se usan con mucha frecuencia pero casi nunca se explican o definen adecuadamente. Así pues, vamos a intentar comenzar por el principio.
El concepto dato de carácter personal puede ser definido como "cualquier información concerniente a personas físicas identificadas o identificables" (LOPD). Se plantean sin duda muchos casos ambiguos, ¿Es la matrícula del coche un dato de carácter personal? ¿Y la localización exacta de una persona? ¿Y la nacionalidad? En casos como este está claro que con cada uno de estos datos no se puede identificar unívocamente a una persona, pero esto cambia si se pueden combinar varios de estos datos. Es posible que si tenemos una idea aproximada sobre dónde se encuentra una persona (con el GPS del móvil por ejemplo) y también conocemos otros datos como su sexo o su nacionalidad no resulte difícil averiguar quién es exactamente.
En España la ley que se encarga de proteger la privacidad (volveremos a este término en el futuro) de las personas es la LOPD (Ley Orgánica de Protección de Datos) y se aplica precisamente a todo aquello que se considere un “dato de carácter personal” según la definición expuesta previamente y durante las fases de recogida, uso y conservación de dicha información (registros, encuestas, promociones, etc).
Uno de los ejemplos que resulta más controvertido en este sentido es el correo electrónico. ¿Se puede considerar una dirección de correo electrónico un dato de carácter personal? En general una dirección de correo no identifica a una persona (por ejemplo, contacto@s21sec.com), aunque en muchos casos se utilizan reglas para definir dichas direcciones que pueden dar mucha información (nombre+apellido@s21sec.com). Por lo tanto, dada la definición, no se puede afirmar que la dirección de correo electrónico sea un dato de carácter personal. Sin embargo, una dirección de correo electrónico siempre está asociada a un dominio, mediante el cual es posible identificar al sujeto “dueño” de dicha dirección. La APD (Agencia de Protección de Datos) considera que sí y por lo tanto queda dentro del ámbito de aplicación de la LOPD.
Como resumen, un dato de carácter personal es toda aquella información que identifica de manera unívoca a una persona. Pero conviene tener cuidado, también la combinación de otras informaciones sin aparente importancia y que no corresponden a dicha categoría pueden conducir a la elaboración de perfiles y a la identificación como última consecuencia (“Mira lo que me he bajado para el móvil, te registras, luego le das aquí y te aparece donde están los restaurantes que tienes cerca”).
Más información:
Información y decálogo sobre la protección de datos (Gobierno de Navarra)
En este blog: aquí, aquí y aquí.
Alberto Yoldi
S21Sec e-crime
El concepto dato de carácter personal puede ser definido como "cualquier información concerniente a personas físicas identificadas o identificables" (LOPD). Se plantean sin duda muchos casos ambiguos, ¿Es la matrícula del coche un dato de carácter personal? ¿Y la localización exacta de una persona? ¿Y la nacionalidad? En casos como este está claro que con cada uno de estos datos no se puede identificar unívocamente a una persona, pero esto cambia si se pueden combinar varios de estos datos. Es posible que si tenemos una idea aproximada sobre dónde se encuentra una persona (con el GPS del móvil por ejemplo) y también conocemos otros datos como su sexo o su nacionalidad no resulte difícil averiguar quién es exactamente.
En España la ley que se encarga de proteger la privacidad (volveremos a este término en el futuro) de las personas es la LOPD (Ley Orgánica de Protección de Datos) y se aplica precisamente a todo aquello que se considere un “dato de carácter personal” según la definición expuesta previamente y durante las fases de recogida, uso y conservación de dicha información (registros, encuestas, promociones, etc).
Uno de los ejemplos que resulta más controvertido en este sentido es el correo electrónico. ¿Se puede considerar una dirección de correo electrónico un dato de carácter personal? En general una dirección de correo no identifica a una persona (por ejemplo, contacto@s21sec.com), aunque en muchos casos se utilizan reglas para definir dichas direcciones que pueden dar mucha información (nombre+apellido@s21sec.com). Por lo tanto, dada la definición, no se puede afirmar que la dirección de correo electrónico sea un dato de carácter personal. Sin embargo, una dirección de correo electrónico siempre está asociada a un dominio, mediante el cual es posible identificar al sujeto “dueño” de dicha dirección. La APD (Agencia de Protección de Datos) considera que sí y por lo tanto queda dentro del ámbito de aplicación de la LOPD.
Como resumen, un dato de carácter personal es toda aquella información que identifica de manera unívoca a una persona. Pero conviene tener cuidado, también la combinación de otras informaciones sin aparente importancia y que no corresponden a dicha categoría pueden conducir a la elaboración de perfiles y a la identificación como última consecuencia (“Mira lo que me he bajado para el móvil, te registras, luego le das aquí y te aparece donde están los restaurantes que tienes cerca”).
Más información:
Información y decálogo sobre la protección de datos (Gobierno de Navarra)
En este blog: aquí, aquí y aquí.
Alberto Yoldi
S21Sec e-crime
Gestionar la seguridad, ¿con la LOPD y su Reglamento de Desarrollo es suficiente?
Por imperativo legal, muchas son las organizaciones que se han visto obligadas a adecuar su negocio y/o sus servicios a la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, LOPD) con objeto de “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal”.
En la sociedad actual, donde la información se almacena en bases de datos y se intercambia en gran medida mediante sistemas de telecomunicaciones, velar por los derechos fundamentales que recoge la LOPD irremediablemente implica tomar medidas que afecten directamente a los sistemas de información. La cuestión es, ¿las directrices que pueden encontrarse en el RD 1720/2007 (por el que se aprueba el Reglamento de Desarrollo de la LOPD) son suficientes para una organización que desee gestionar la seguridad de sus sistemas de información o son sólo un principio? Si bien para algunas organizaciones el RD 1720/2007 puede ser suficiente, para aquellas organizaciones donde la seguridad de la información deba tener un peso específico, necesitarán de los estándares internacionales ISO 27000, o de un marco normativo equivalente. Para analizar el por qué, veamos la siguiente ilustración donde se tiene en cuenta el origen, finalidad, estructura y ámbito de estos documentos:
Como puede verse, la LOPD establece un marco legal para la protección de los derechos de las personas físicas frente al tratamiento de sus datos, mientras que los estándares ISO 27000 nacen con un objetivo más amplio, además de proteger los datos de carácter personal que toda organización almacena y gestiona, también quieren proteger cualquier otro tipo de información igualmente importante (diseños, topologías de red, balance y asignaciones presupuestarias, cuentas de resultados, objetivos de la compañía, reestructuraciones, futuras alianzas, etc.), a partir de la implantación de un sistema de gestión para la seguridad de la información.
A objetivos distintos, distintas perspectivas y distintos desarrollos. Así pues, nos encontramos con que:
- Los estándares ISO 27000 establecen un marco para gestionar la seguridad en todos sus ámbitos: técnico, normativo, legal y regulatorio, lo que conlleva también el velar por la protección de los datos de carácter personal de acuerdo con las obligaciones impuestas por la LOPD.
- El Reglamento de Desarrollo de la LOPD está formado por 158 artículos destinados a establecer unos requisitos mínimos de obligado cumplimiento comunes a todos, de los cuales únicamente 36 de ellos tratan sobre las medidas de seguridad en el tratamiento de datos de carácter personal, frente a los 133 controles empleados por el estándar ISO 27002, destinados a cubrir 39 objetivos de seguridad, pertenecientes a 11 dominios de actuación distintos. A esto hay que sumarle la existencia de otros estándares individuales (ver ilustración) cuyo objetivo final conjunto es dotar a las organizaciones de un sistema de gestión de la seguridad completo, orientado a cubrir sus necesidades, protegiéndola proporcionalmente a los riesgos que manifiesta.
Implantar la LOPD es sinónimo de cumplir con unos mínimos exigibles, mínimos que dotarán a una organización de unas medidas de seguridad básicas y de unos mecanismos que permitan la detección de problemas o irregularidades en la seguridad de los datos de carácter personal. En cambio, adecuar una organización a los estándares ISO 27000 no sólo permitirá el cumplimiento de la LOPD, sino ampliar el alcance en cuanto al tipo de información a proteger y dotar a la organización de unos mecanismos de seguridad diseñados con el objetivo de:
- reaccionar frente a problemas de seguridad: mediante la gestión de incidencias,
- detectar problemas de seguridad: mediante la configuración de alertas, revisiones periódicas y la notificación de incidencias, y
- prevenir futuros problemas de seguridad: mediante el diseño de indicadores de seguridad,
donde los controles de seguridad se habrán implantado en función de la criticidad de la información que protegen, acompañados de un sistema que permita no sólo el análisis de la efectividad de los mismos, sino también de su eficiencia.
De acuerdo con lo expuesto, los principales cambios que supondrán para una organización que desee evolucionar las medidas de seguridad exigidas por la LOPD a un modelo como el recomendado en los estándares ISO 27000, se resumen en la siguiente ilustración:
De acuerdo con lo expuesto, los principales cambios que supondrán para una organización que desee evolucionar las medidas de seguridad exigidas por la LOPD a un modelo como el recomendado en los estándares ISO 27000, se resumen en la siguiente ilustración:
Isabel Soler.
Área de Consultoría.
WYSIWYG (What you sniff is what you get)
Cuando se quiere comprobar la seguridad de un sistema, el primer paso es recopilar la mayor cantidad de información posible hasta llegar a conocer que vulnerabilidades podrían afectarle. Hay varias técnicas y herramientas que facilitan o directamente automatizan esto. El problema viene cuando en el proceso se interactúa con el sistema de manera que efectivamente se explota una vulnerabilidad o por cualquier otro motivo el funcionamiento normal se ve afectado. Si se realiza de una manera controlada, las consecuencias pueden ser mínimas, imperceptibles para los usuarios, pero en caso de ser un sistema crítico, es inaceptable que se pueda poner en riesgo su correcto funcionamiento, aunque se haga bajo control. Cuando no se nos permite interactuar con el sistema, tan solo nos queda la técnica WYSIWYG (What you sniff is what you get) es decir, observar el tráfico de red y sacar toda la información posible de ahí. Vamos a suponer que se utiliza el tráfico es IP sobre las tecnologías conocidas como Ethernet, wifi o zigbee por ejemplo.
En primer lugar, las malas noticias. La información que se obtiene de observar el tráfico no solo es incompleta, sino que no es fiable al 100%. Al fin y al cabo hay que capturar tráfico en el momento adecuado y confiar en que el sistema no se ha modificado de manera que genera tráfico que se sale de lo que sería habitual. En este post vamos a suponer que no se ha modificado nada con la única intención de confundir o engañar.
En segundo lugar las buenas noticias. Se pueden extraer más datos de los que parece. Empecemos por lo más fácil/obvio:
Lógicamente hay técnicas más complicadas. Las más conocidas se basan en estudiar las peculiaridades de los protocolos TCP (1, 2, 3 y otros) e IP (1) para intentar diferenciar entre sistemas operativos. En el estándar hay ciertos campos cuyos valores no están definidos en todas las situaciones o pueden tomar un valor dentro de un rango. Esto hace que cada implementación tenga pequeñas diferencias que son especialmente notables en las fases de establecimiento y finalización de la conexión. Hay varias herramientas que implementan esta idea. La más conocida seguramente sea p0f. Estos son los campos que resultan más útiles a la hora de identificar el sistema operativo cuando se está estableciendo una conexión:
Aún hay más técnicas, algunas de ellas bastante complejas que nos dan información acerca del sistema a investigar.
Como podéis ver, capturar y analizar el tráfico de red nos puede dar bastantes más pistas de a que nos enfrentamos de lo que parece. Además siempre es más divertido que pedir al administrador que nos diga que hay instalado.
En primer lugar, las malas noticias. La información que se obtiene de observar el tráfico no solo es incompleta, sino que no es fiable al 100%. Al fin y al cabo hay que capturar tráfico en el momento adecuado y confiar en que el sistema no se ha modificado de manera que genera tráfico que se sale de lo que sería habitual. En este post vamos a suponer que no se ha modificado nada con la única intención de confundir o engañar.
En segundo lugar las buenas noticias. Se pueden extraer más datos de los que parece. Empecemos por lo más fácil/obvio:
- Dirección IP y de enlace (MAC) (agradecimientos al capitán obvio). En la mayoría de las tecnologías, la dirección MAC indica quien es el fabricante. Los drivers especialmente de wifi y tecnologías menos maduras que la clásica Ethernet tienen vulnerabilidades, algunas de ellas muy graves.
- Puertos abiertos y cerrados. Simplemente observamos los intentos de establecer una conexión (SYN) y las respuestas (SYN-ACK/RST). Aunque podemos suponer que cada puerto se utiliza para lo que está reservado, mirando el tráfico se puede comprobar que el protocolo es el esperado.
- Mensajes de broadcast. Otras aplicaciones o dispositivos que hacen anuncios a toda la red usando la dirección de broadcast y que pueden tener vulnerabilidades conocidas.
- Mensajes a nivel de aplicación. Algunas aplicaciones dan información clara del sistema operativo, el software, la versión e incluso el tipo de procesador que utiliza una máquina en concreto. Ejemplo, banners de servidores ftp y ssh o el campo user-agent de los navegadores web entre otros
- Si se establecen conexiones a servidores de actualizaciones puede obtenerse información de qué software y posiblemente qué versión se utiliza.
Lógicamente hay técnicas más complicadas. Las más conocidas se basan en estudiar las peculiaridades de los protocolos TCP (1, 2, 3 y otros) e IP (1) para intentar diferenciar entre sistemas operativos. En el estándar hay ciertos campos cuyos valores no están definidos en todas las situaciones o pueden tomar un valor dentro de un rango. Esto hace que cada implementación tenga pequeñas diferencias que son especialmente notables en las fases de establecimiento y finalización de la conexión. Hay varias herramientas que implementan esta idea. La más conocida seguramente sea p0f. Estos son los campos que resultan más útiles a la hora de identificar el sistema operativo cuando se está estableciendo una conexión:
- Tamaño de la ventana. Suelen tomar un valor característico para cada sistema operativo que puede ser fijo, o un múltiplo entero del MTU (Maximum Transmission Unit) o del MSS (Maximum Segment Size).
- TTL (Time To Live). Habitualmente cambia entre diferentes familias de sistemas operativos.
- flag "do not fragment". Algunos sistemas operativos lo activan mientras que otros no. Su valor es indiferente al establecer una conexión.
- Opciones TCP. Un segmento TCP puede incluir una gran variedad de opciones. Es aquí donde realmente se pueden apreciar grandes diferencias, tanto en qué opciones están presente como en qué orden y qué valores tienen. Algunas de las más importantes son, el tamaño máximo de segmento, el escalado de ventana, el timestamp y la opción que indica el soporte de ACKs selectivos.
- Errores y comportamientos extraños. Si señores, desafiando toda lógica, hay errores en las implementaciones de los estándares. No significa que haya alguna vulnerabilidad sino que en algún momento es posible que no cumpla el estándar o que aún cumpliendo el estándar su comportamiento no es lógico. Uno de mis favoritos es una versión antigua del kernel de Linux, que en procesadores little-endian anunciaban un tamaño de ventana de 512 o 16384, mientras que en procesadores big-endian se convertía en 2 y 64 respectivamente (parece que alguien ha metido la pata, ejem, ejem...)
Aún hay más técnicas, algunas de ellas bastante complejas que nos dan información acerca del sistema a investigar.
- Peculiaridades en protocolos comunes, como ICMP, NETBIOS, DNS. Por ejemplo, la respuesta a un ICMP de tipo timestamp de algunos sistemas operativos es little-endian cuando debería ser big-endian.
- Particularidades en las cabeceras IP, como el uso de opciones o patrones detectables en el campo "identification".
- Análisis del comportamiento de TCP. En los algoritmos que definen TCP hay ciertas decisiones que puede tomar el implementador y que varían de una pila a otra. Por ejemplo el tamaño inicial de la ventana de congestión puede ser de 1 o 2 segmentos, o distintos sistemas operativos pueden implementar diferentes versiones de fast-recovery u otros.
- El campo timestamp en las opciones de TCP crece linealmente con el tiempo. Haciendo la regresión lineal con el tiempo de varios timestamp, se puede calcular cuantas veces se actualiza este valor por segundo, valor que varía de un sistema operativo a otro.
Como podéis ver, capturar y analizar el tráfico de red nos puede dar bastantes más pistas de a que nos enfrentamos de lo que parece. Además siempre es más divertido que pedir al administrador que nos diga que hay instalado.
Patxi Astiz
S21sec labs
Código malicioso y videojuegos
Como todo negocio, la “industria del malware” ha demostrado estar siempre atenta a cualquier sector del que se pueda obtener un beneficio rápido y elevado, diversificando sus estrategias y enfocándolas hacia donde resulten más rentables. Dejando al margen a las familias de código malicioso orientadas al sector bancario, que claramente destaca como el objetivo número uno del fraude virtual, este informe analiza el impacto de códigos maliciosos dirigidos al sector entretenimiento, concretamente a los juegos de rol multi-jugador masivos online (MMORPGs del inglés: massively multiplayer online role-playing games).
Los videojuegos hace tiempo que son una de las industrias más potentes del entretenimiento, siendo algunos lanzamientos comparables a la presentación de superproducciones millonarias de Hollywood. Algunos videojuegos tienen presupuestos astronómicos, campañas de publicidad en todos los medios y dedican cantidades ingentes de recursos para lograr el máximo número de jugadores. Desde hace tiempo el modelo de juego online es el predominante, resultando conveniente tanto para los jugadores que obtienen una mejora notable en su experiencia de juego, como para los vendedores que multiplican sus ingresos mediante el cobro de suscripciones online. No sólo eso, también permite mantener una comunidad fiel que adquiere puntualmente actualizaciones, o incluso con la venta de bienes virtuales o mejoras para sus personajes.
Hay todo un mercado alrededor de esta industria que se dedica a complementar los servicios “oficiales”, ofreciendo toda una serie de ventajas, bienes y servicios al margen de las compañías de videojuegos, muchas veces de modo totalmente ilegal. Por supuesto, toda esta industria es un objetivo más que jugoso para el fraude en cuanto a beneficios potenciales. También es un objetivo que ofrece una mayor “seguridad” a los ciberdelincuentes en cuanto a sentirse menos amenazados por investigaciones que puedan conducir a su arresto, realizando robos de bienes que tienen dudosa cobertura jurídica y de muy difícil tasación, y que en muchas ocasiones no proceden a una investigación formal en la que intervengan fuerzas del orden.
Todo esto ha resultado en una serie de mafias que han visto un objetivo fácil y de alta remuneración, y que han empezado su explotación sistemática. En general se centran en el sudeste Asiático, por ser esta la región del mundo en que mayor afición hay a este tipo de videojuegos.
Por ello, dentro del servicio de Informes de Inteligencia que ofrece S21sec, hace unos días decidimos que fuera público un informe sobre el asunto, que esperamos que disfrutéis y nos comentéis vuestras impresiones.
S21sec e-crime
Nace el Consejo Nacional Consultor sobre Cyber-Seguridad
En una situación con un crecimiento sostenido y exponencial de la cyber-delincuencia movido por intereses económicos y políticos, el sector ha decidido aunar sus fuerzas y ponerse a disposición de entidades gubernamentales o privadas para asesorarlas en materias relacionadas con la Cyber-Seguridad. Su misión es hacer más segura Internet y las redes de Información, así como potenciar la innovación y el crecimiento económico de nuestro país.
Preocupados por el avance de las mafias de Internet, se están impulsando diferentes medidas a nivel internacional para combatir sus efectos. En la UE, por ejemplo, se creó la Agencia Europea de Seguridad (ENISA) y en Estados Unidos, el Plan para el diagnóstico de la Seguridad en el ciberespacio. En España, sin embargo, no existían iniciativas parecidas, aunque sí una potente industria de seguridad reconocida a nivel internacional, que puede contribuir a la prevención del cyber-crimen y a la mejora de la seguridad en diferentes ámbitos.
La actividad del Consejo Nacional Consultor sobre Cyber-Seguridad no se circunscribe a un mero órgano consultor, sino que tiene previsto poner en marcha diferentes iniciativas que ayuden a:
El Consejo tiene carácter indefinido y cuenta con la presidencia de cada una de las compañías de forma rotativa cada seis meses. El primer período de presidencia lo ocupa Juan Santana, Consejero Delegado de Panda Security.
Xabier Mitxelena, CEO de S21sec, comenta:“realmente necesitábamos este tipo de iniciativas por diferentes razones. La primera de ellas, porque como sector y de manera unificada seremos capaces de empujar iniciativas realmente interesantes que contribuyan a la mejora de la seguridad en general. Y, por otro lado, porque tenemos mucho conocimiento y experiencia para contribuir positivamente a la prevención y gestión de los ciberdelitos, investigación y desarrollo de nuevas tecnologías para mitigar los efectos del fraude y a la colaboración en la elaboración de legislación y normativas que ayuden a la protección de la Sociedad de la Información”.
Preocupados por el avance de las mafias de Internet, se están impulsando diferentes medidas a nivel internacional para combatir sus efectos. En la UE, por ejemplo, se creó la Agencia Europea de Seguridad (ENISA) y en Estados Unidos, el Plan para el diagnóstico de la Seguridad en el ciberespacio. En España, sin embargo, no existían iniciativas parecidas, aunque sí una potente industria de seguridad reconocida a nivel internacional, que puede contribuir a la prevención del cyber-crimen y a la mejora de la seguridad en diferentes ámbitos.
La actividad del Consejo Nacional Consultor sobre Cyber-Seguridad no se circunscribe a un mero órgano consultor, sino que tiene previsto poner en marcha diferentes iniciativas que ayuden a:
- La protección de identidad de los consumidores.
- La protección de infraestructuras críticas.
- La creación de leyes nacionales contra el cyber-crimen.
- La protección de la información corporativa.
- La evolución de la estructura gubernamental desde el foco del ámbito físico al del cyberespacio.
- La mejora y el apoyo, desde el punto de vista del Consejo, de la prosperidad económica y la seguridad nacional.
El Consejo tiene carácter indefinido y cuenta con la presidencia de cada una de las compañías de forma rotativa cada seis meses. El primer período de presidencia lo ocupa Juan Santana, Consejero Delegado de Panda Security.
Xabier Mitxelena, CEO de S21sec, comenta:“realmente necesitábamos este tipo de iniciativas por diferentes razones. La primera de ellas, porque como sector y de manera unificada seremos capaces de empujar iniciativas realmente interesantes que contribuyan a la mejora de la seguridad en general. Y, por otro lado, porque tenemos mucho conocimiento y experiencia para contribuir positivamente a la prevención y gestión de los ciberdelitos, investigación y desarrollo de nuevas tecnologías para mitigar los efectos del fraude y a la colaboración en la elaboración de legislación y normativas que ayuden a la protección de la Sociedad de la Información”.
Ataques sobre el nivel 2 del modelo OSI (V): Dynamic Trunking Protocol
Dynamic Trunking Protocol (DTP) es un protocolo propietario de Cisco para establecer trunks entre switches de nivel dos. Los paquetes DTP tienen normalmente como MAC de destino 01:00:0C:CC:CC:CC y una trama IEEE 802.3 con una cabecera 802.2 SNAP. Este protocolo se encuentra disponible en muchos switches Cisco, excluyendo modelos XL. DTP se encuentra activado por defecto en los dispositivos Cisco, preparado para negociar en todos los puertos del switch. Sin embargo, es necesario saber cómo negociar DTP para establecer un trunk. La especificación DTP es propietaria de Cisco (no pública), lo cual lo hace algo más difícil. Por
tanto los autores del artículo se han visto obligados a utilizar ingeniería inversa del tráfico entre switches cuando establecen un trunk con el fin de ser lo más precisos posible con el formato DTP.
DTP negocia tanto la activación del propio trunk como el tipo de encapsulamiento utilizada para recibir y enviar tráfico por un puerto dado. El tipo más común de encapsulamiento es IEEE 802.1Q (soportada por la mayoría de los switches Cisco). Esta especificación es un estándar público. Por otro lado, también puede utilizarse ISL, el cual es otro protocolo propietario de Cisco y soportado sólo en dispositivos de alto nivel. El principal motivo de utilizar es marcar los paquetes con su correspondiente VLAN. Esto ayuda a los switches a saber por dónde enviar los paquetes.
DTP no utiliza autenticación y, como hemos mencionado anteriormente, se encuentra activado por defecto en todos los puertos. La única condición es si somos capaces de negociar DTP. Si lo somos podremos tener acceso a otras VLANs. Con el fin de aprender a negociar DTP primero es necesario conocer el formato del paquete:
Por otro lado, es necesario controlar el estado del otro dispositivo para cambiar el nuestro si fuera necesario. Esto se consigue con un bucle de recepción de paquetes DTP. Tras unos pocos chequeos, Yersinia cambia su estado DTP en función del otro dispositivo.
tanto los autores del artículo se han visto obligados a utilizar ingeniería inversa del tráfico entre switches cuando establecen un trunk con el fin de ser lo más precisos posible con el formato DTP.
DTP negocia tanto la activación del propio trunk como el tipo de encapsulamiento utilizada para recibir y enviar tráfico por un puerto dado. El tipo más común de encapsulamiento es IEEE 802.1Q (soportada por la mayoría de los switches Cisco). Esta especificación es un estándar público. Por otro lado, también puede utilizarse ISL, el cual es otro protocolo propietario de Cisco y soportado sólo en dispositivos de alto nivel. El principal motivo de utilizar es marcar los paquetes con su correspondiente VLAN. Esto ayuda a los switches a saber por dónde enviar los paquetes.
DTP no utiliza autenticación y, como hemos mencionado anteriormente, se encuentra activado por defecto en todos los puertos. La única condición es si somos capaces de negociar DTP. Si lo somos podremos tener acceso a otras VLANs. Con el fin de aprender a negociar DTP primero es necesario conocer el formato del paquete:
- Domain (32 bytes): Cadena ASCII igual al dominio VTP configurado
- Status (1 byte): indica el estado del puerto: on, off, desirable or auto; por defecto: desirable – podemos empezar a negociar DTP
- Type (1 byte): tipo de encapsulamiento soportado: ISL, 802.1Q, negotiated (ISL o 802.1Q) o native
- Neighbor-ID (6 bytes): identifica el dispositivo que envía el paquete; normalmente: dirección MAC del puerto.
Por otro lado, es necesario controlar el estado del otro dispositivo para cambiar el nuestro si fuera necesario. Esto se consigue con un bucle de recepción de paquetes DTP. Tras unos pocos chequeos, Yersinia cambia su estado DTP en función del otro dispositivo.
Estado DTP del puerto desde la consola del switchGracias al trabajo realizado en Yersinia, fue posible añadir el soporte de DTP en Wireshark
zipi# sh dtp int Fa0/10
DTP information for FastEthernet0/10:
TOS/TAS/TNS: ACCESS/DESIRABLE/ACCESS
TOT/TAT/TNT: NATIVE/802.1Q/802.1Q
Neighbor address 1: 000000000000
Neighbor address 2: 000000000000
Alfredo Andrés
David Barroso
S21sec e-crime
Los datos, al igual que la comida, entran por los ojos
En este post quería dedicarle unas líneas a la visualización de datos. Es algo a lo que estamos acostumbrados pero a lo que quizá no siempre le damos la importancia que se merece. Los datos por si solos, y sobre todo cuando el volumen de datos es grande, pueden ser difíciles de interpretar. La visualización de datos trata de representar la información más relevante mediante una imagen clara y comprensible a simple vista. En cierta forma, la visualización de datos está muy ligada al mundo de la minería de datos ya que el objetivos es el mismo, extraer información importante de los datos de que disponemos.
El proceso de representar gráficamente la información contenida en los datos no es ni tan directo ni tan simple como pudiera parecer. Es muy importante que los objetivos del problema están perfectamente claros antes de empezar. Posteriormente, podremos comenzar a definir la forma en la que vamos a representar los datos. Este proceso de visualización se puede resumir en 6 pasos que se muestran en el siguiente diagrama:
1 - Definición del problema
Debemos identificar que es lo que estamos buscando y las respuestas que queremos obtener con la representación gráfica de los datos. La visualización no debe estar orientada a los datos sino por los casos de uso específicos que queremos tratar en la resolución de un problema.
2 - Evaluar los datos de los que disponemos
Debemos determinar los datos con los que contamos. Por ejemplo en el caso de la seguridad de los sistemas de información, contamos con infinidad de logs que se recogen de diversos servicios. Deberíamos identificar estas fuentes de información, la relación entre los datos provenientes de diferentes fuentes y la información adicional implícita a esos datos.
3 - Procesar la información
Debemos parsear los datos, filtrarlos y extraer de ellos la información relevante que queramos representar de forma gráfica.
4 - Transformación visual
Debemos determinar qué tipo de representación gráfica representa mejor los datos, el color, la forma, etc.
5 - Transformación de la vista
El gráfico obtenido se puede mirar de diferentes formas. Hay veces en las que las transformaciones de los ejes, las translaciones, el zoom de determinadas partes del gráfico puede ser muy relevante para representar la información de forma correcta.
6 - Interpretación
El resultado final de este proceso debería ser una representación visual, clara y concisa de aquellos datos que nos ayuden a satisfacer los objetivos iniciales que habíamos planteado en la definición del problema.
Esto ha sido simplemente una breve introducción a la metodología de visualización de datos, algo básico, pero en lo que muchas veces merece la pena pararse un poco y reflexionar sobre ello. si estáis interesados en la visualización de datos, en la página web de infovis podréis encontrar multitud de información y referencias bibliográficas sobre el tema.
Guzmán Santafé
S21sec labs
El proceso de representar gráficamente la información contenida en los datos no es ni tan directo ni tan simple como pudiera parecer. Es muy importante que los objetivos del problema están perfectamente claros antes de empezar. Posteriormente, podremos comenzar a definir la forma en la que vamos a representar los datos. Este proceso de visualización se puede resumir en 6 pasos que se muestran en el siguiente diagrama:
1 - Definición del problema
Debemos identificar que es lo que estamos buscando y las respuestas que queremos obtener con la representación gráfica de los datos. La visualización no debe estar orientada a los datos sino por los casos de uso específicos que queremos tratar en la resolución de un problema.
2 - Evaluar los datos de los que disponemos
Debemos determinar los datos con los que contamos. Por ejemplo en el caso de la seguridad de los sistemas de información, contamos con infinidad de logs que se recogen de diversos servicios. Deberíamos identificar estas fuentes de información, la relación entre los datos provenientes de diferentes fuentes y la información adicional implícita a esos datos.
3 - Procesar la información
Debemos parsear los datos, filtrarlos y extraer de ellos la información relevante que queramos representar de forma gráfica.
4 - Transformación visual
Debemos determinar qué tipo de representación gráfica representa mejor los datos, el color, la forma, etc.
5 - Transformación de la vista
El gráfico obtenido se puede mirar de diferentes formas. Hay veces en las que las transformaciones de los ejes, las translaciones, el zoom de determinadas partes del gráfico puede ser muy relevante para representar la información de forma correcta.
6 - Interpretación
El resultado final de este proceso debería ser una representación visual, clara y concisa de aquellos datos que nos ayuden a satisfacer los objetivos iniciales que habíamos planteado en la definición del problema.
Esto ha sido simplemente una breve introducción a la metodología de visualización de datos, algo básico, pero en lo que muchas veces merece la pena pararse un poco y reflexionar sobre ello. si estáis interesados en la visualización de datos, en la página web de infovis podréis encontrar multitud de información y referencias bibliográficas sobre el tema.
Guzmán Santafé
S21sec labs
Todo por la pasta
Nadie se mete en esto del cibercrimen para perder dinero y mucho menos para acabar entre rejas. De nada vale que tu malware sea indetectable ni que escondas la IP detrás la botnet de tu socio ucraniano si finalmente la policía puede seguir el rastro del dinero y enviarte de cabeza a Alcalá-Meco. Así que para disfrutar del dinero que hemos conseguido con tanto esfuerzo entra en juego la tercera fase del fraude online: el blanqueo de dinero.A diferencia del blanqueo "tradicional", que busca inyectar dinero en efectivo dentro del sistema financiero, el procedente del cibercrimen funciona justo al contrario. Aquí se trata de que matrix y el mundo real se toquen, es decir de convertir en dinero contante y sonante la pasta virtual que hemos sacado del phishing, DDoS, vender CVVs y similar.
Conseguir el dinero físico a partir del electrónico no es el problema. Lo difícil es hacerlo sin ser detectado, o al menos, sin que te pillen. Para esto se usan cadenas de transferencias, con el objetivo de dificultar la investigación y que esta se abandone por el excesivo tiempo que consume o porque una de las empresas intermedias no llegue a facilitar los datos.
Existen muchos métodos de mover dinero por Internet, y lo más eficaz es combinarlos en una estructura por capas donde el dinero salte de uno a otro. Entre los sistemas utilizados se encuentran los siguientes:
Transferencias de fondos mediante banca on-line: pueden ser entre entidades del mismo pais o de diferentes países. En los foros de carding es frecuente encontrar anuncios comprando o vendiendo documentación falsa para operar este tipo de cuentas
Agencias envío de dinero: principalmente Western Union y Money Gram. Todo un clásico, el mulero transfiere el dinero obtenido de un phishing a un país del este donde se pierde la pista.
Sistemas de e-currency: Paypal, Moneybookers, Liberty Reserve, e-gold, Webmoney.... la lista es larga, en los últimos años se han popularizado mucho . Algunos como Paypal, son muy eficientes en la prevención del blanqueo de capitales mientras que otros han tenido ciertos problemillas con la justicia. Pagando comisiones es posible mover dinero desde un sistema a otro. Por cierto uno de estos sistemas es el método más empleado en el underground ruso para pagar los desarrolladores de malware.
Casinos online: pueden usarse como un eslabón más de la cadena ingresando el dinero desde una cuenta bancaria o de e-curreny y sacarlo hacia otra, o bien pueden usarse métodos más creativos. Su grado de colaboración con las fuerzas de seguridad es diverso, y si está localizado en un país no colaborativo podemos esperar sentados.
Compraventa de bienes virtuales: puede ser terrenos de Second Life, oro del WoW, o incluso música. Este tema es muy amplio y estaría bien tratarlo en otro post, aunque no prometo nada :P
Por último, una vez que el dinero esta bien limpio, la operativa habitual es ingresarlo en múltiples cuentas y retirarlo en cajeros automáticos en cantidades moderadas.
Independientemente del sistema usado para el blanqueo, la regla de oro es mover cantidades pequeñas usando múltiples transferencias (olvidaos de las pelis tipo "he transferido los 30 millones a tu cuenta de Barbados" ok?), con esto persigue un triple objetivo:
Existen muchos métodos de mover dinero por Internet, y lo más eficaz es combinarlos en una estructura por capas donde el dinero salte de uno a otro. Entre los sistemas utilizados se encuentran los siguientes:
Transferencias de fondos mediante banca on-line: pueden ser entre entidades del mismo pais o de diferentes países. En los foros de carding es frecuente encontrar anuncios comprando o vendiendo documentación falsa para operar este tipo de cuentas
Agencias envío de dinero: principalmente Western Union y Money Gram. Todo un clásico, el mulero transfiere el dinero obtenido de un phishing a un país del este donde se pierde la pista.
Sistemas de e-currency: Paypal, Moneybookers, Liberty Reserve, e-gold, Webmoney.... la lista es larga, en los últimos años se han popularizado mucho . Algunos como Paypal, son muy eficientes en la prevención del blanqueo de capitales mientras que otros han tenido ciertos problemillas con la justicia. Pagando comisiones es posible mover dinero desde un sistema a otro. Por cierto uno de estos sistemas es el método más empleado en el underground ruso para pagar los desarrolladores de malware.
Casinos online: pueden usarse como un eslabón más de la cadena ingresando el dinero desde una cuenta bancaria o de e-curreny y sacarlo hacia otra, o bien pueden usarse métodos más creativos. Su grado de colaboración con las fuerzas de seguridad es diverso, y si está localizado en un país no colaborativo podemos esperar sentados.
Compraventa de bienes virtuales: puede ser terrenos de Second Life, oro del WoW, o incluso música. Este tema es muy amplio y estaría bien tratarlo en otro post, aunque no prometo nada :P
Por último, una vez que el dinero esta bien limpio, la operativa habitual es ingresarlo en múltiples cuentas y retirarlo en cajeros automáticos en cantidades moderadas.
Independientemente del sistema usado para el blanqueo, la regla de oro es mover cantidades pequeñas usando múltiples transferencias (olvidaos de las pelis tipo "he transferido los 30 millones a tu cuenta de Barbados" ok?), con esto persigue un triple objetivo:
- Evitar los sistemas deteccion de fraude
- Hacer que la cadena de transferencias sea más compleja de rastrear.
- Dividir la cantida total en varias cantidades menores para que los investigadores tengan una vision parcial del fraude y se dediquen menos recursos a su seguimiento.
Paradójicamente esta operativa "de autoprotección" también permite afinar la búsqueda de patrones de comportamiento que facilitan su detección.
Javier Barrios
S21sec e-crime
Firmado y cifrado de e-mail con S/MIME y PGP
Uno de los aspectos que ha ido ganando cada vez más importancia en el mundo de las comunicaciones electrónicas es el de garantizar tanto la autenticidad (el destinatario puede confiar en que el remitente es quien dice ser) como la privacidad de la información enviada. Para ello, se puede optar o bien por utilizar distintos sistemas de seguridad en los canales de comunicación, o por encapsular la información a enviar de forma que se puedan conseguir esos objetivos independientemente de los mencanismos de comunicación utilizados. Esta segunda solución -conocida como seguridad "de extremo a extremo"- se ha convertido en un punto muy importante para el usuario final de este tipo de servicios.Actualmente los principales contendientes en liza para abordar este asunto son S/MIME y PGP (en sus dos encarnaciones tanto PGP/MIME como OpenPGP) que se apoyan en el tipo MIME "multipart/signed" definido en el RFC 1847 por la IETF.
Como viene siendo habitual, el funcionamiento de todas estas tecnologías se basa en algoritmos de clave pública cuyo uso a gran escala depende de un mecanismo que permita certificar que cierta clave pertenece a tal o cual usuario.
A pesar de que proporcionan servicios similares, estas tecnologías son incompatibles entre si de forma que, un usuario que utilice S/MIME, no puede comunicarse con uno que utilice PGP/MIME (y viceversa). Sería algo parecido a lo que ocurre con formatos como GIF y PNG, ambos están pensados para solucionar el problema del almacenamiento de imágenes de forma electrónica pero sus formatos son muy diferentes.
S/MIME
Inicialmente desarrollado por RSA está basado en la sintaxis definida por PKCS #7 para el cifrado y firmado de mensajes y el estandard X.509 v3 para definir el formato de los certificados.
PGP/MIME, OpenPGP
Basados ambos en PGP, utilizan -tanto para los mensajes como para los certificados- formatos desarrollados específicamente para esta tarea. La diferencia principal entre uno y otro es que, el primero, opera a nivel del mensaje completo mientras que, el segundo, lo hace a nivel de cada una de las partes de un mensaje.
Por ejemplo, en un mensaje que incluyese tres ficheros adjuntos, al cifrarlo con PGP/MIME se generaría un mensaje multipart cuyo cuerpo contendría la información sobre el tipo de cifrado utilizado (pgp/mime) y un adjunto que sería el contenido del mensaje -incluyendo sus tres adjuntos- cifrado. La misma operación realizada con OpenPGP, supondría la creación de un mensaje con cuatro adjuntos cifrados (una para el cuerpo y otra por cada uno de los ficheros adjuntos). La ventaja de este último sistema es la de poder descargar las cabeceras del mensaje sin necesidad de descargarlo completamente para poder conocer su contenido.
Estado actual de las distintas tecnologías
En la actualidad, existe cierta confusión en cuanto a las distintas tecnologías relacionadas con el firmado y cifrado de e-mails pero, centrándonos en las comentadas en este artículo, distinguiríamos los siguientes dos grupos:
S/MIME
Que a su vez tiene dos versiones claramente diferenciadas:En primer lugar tendríamos S/MIME v2 (RFC 2311) -desarrollado por un consorcio privado de fabricantes- que ha logrado una amplia aceptación en el mercado y cuyo problema principal es el no esta reconocido como estarndar por la IETF aparte de que, al requerir el uso de claves RSA está sujeto a patentes cuyos derechos posee esta empresa en USA y, además, restringe la longitud de las claves utilizadas a 40 bits por lo que el cifrado es relativamente debil.
Y, en segundo lugar, y con el fín de evitar estos problemas, la IETF liberó en 1999 la especificación de S/MIME v3 (RFC 2633) existiendo implementaciones tanto en el ámbito del software privativo como en el de software libre (por ejemplo el S/MIME Toolkit de la Mozilla Foundation).
PGP/MIME y OpenPGP
Definido en el RFC 3156 PGP/MIME está siendo desarrollado por el OpenPGP Working Group de la IETF y está soportado por los principales clientes de correo electrónico.
Ejemplo: instalación de S/MIME en Mozilla Thunderbird
Para poder utilizar S/MIME es imprescindible obtener primero un certificado S/MIME. Existen multitud de empresas que expiden este tipo de certificado y, algunas de ellas -tal y como se explica en esta página- proporcionan dichos certificados de forma gratuita aunque, por lo general, tienen ciertas limitaciones.
La configuración de S/MIME es específica de cada cliente de correo pero, en lineas generales, consiste en importar el certificado en el gestor de correo y habilitar su uso a la hora de enviar mensajes.
En esta página se explica como configurar Mozilla Thunderbird para enviar correo utilizando S/MIME.
Como dato anecdótico, existe un plugin para Firefox que permite tanto el firmado como el cifrado de mensajes a través de la interface web de Gmail y que únicamente utiliza Javascript y XPCOMP para ello por lo que, en principio, debería funcionar en cualquier plataforma en la que esté soportado dicho navegador.
Por desgracia a día de hoy -e incomprensiblemente- el uso de estas tecnologías está muy poco extendido.
En tu caso, ¿utilizas estas u otras tecnologías similares para esta tarea?, si no es de las comentadas arriba, ¿de cual se trata? Y, si todavía no firmas y/o cifras tus e-mails ¿cual es el motivo?
Fernando Braquehais
S21sec e-crime
Te ayudamos a evitar el robo de Información en tu empresa
En la actualidad, todos los expertos coinciden en que el riesgo de fuga de la información se ha vuelto más crítico con motivo de la crisis económica actual. Los despidos masivos han hecho que aumenten las actividades contra las propias organizaciones desde dentro, por lo que la seguridad adquiere un papel aún más fundamental si cabe. El aumento del desempleo y empleados descontentos y al borde del despido pone en peligro los datos críticos de las empresas por lo que adquiere una especial relevancia asegurar toda la información de la organización. La venta de información a la competencia está aumentando pero el hecho que más se está produciendo es la publicación, en distintos foros o webs, de información sensible y muchas veces manipulada por los propios empleados para dañar la reputación o continuidad de las compañías de las que son despedidos con motivo del ajuste de plantillas que se está experimentando.
Proponemos unos sencillos consejos para velar por la seguridad de tu empresa evitando de este modo fugas de información:
1. Definir una política corporativa de seguridad de la información. Establecer los niveles de clasificación de la información dentro de la empresa (pública, confidencial, reservada, top secret...) ya sea digital o en papel. Aplicar los niveles de protección adecuados a toda información y gestionar el ciclo de vida de la información desde su generación, manipulación por el personal (política de mesas limpias) hasta su destrucción definitiva.
2. Establecer sesiones de formación en la organización sobre la política de seguridad de la información y seguridad para empleados. Comunicar la política es parte clave para que se respete, además de concienciar al usuario acerca de los peligros del uso de ingeniería social, la clasificación de la información, o las medidas de control de riesgos.
3. Utilizar el "need to know", es decir, evitar el acceso del empleado a la información si realmente no es necesario para su trabajo.
4. Minimizar la exposición al riesgo de los dispositivos móviles. Establecer los niveles de protección para los dispositivos móviles y los dispositivos de almacenamiento, tales como USBs o discos portátiles, mediante cifrado y el control del uso de la información en dispositivos móviles.
5. Acceder a la información importante sólo desde dispositivos y redes fiables. Es importante evitar el acceso a información confidencial, que es vital para la organización desde entornos muy expuestos a ataques como cibercafés, ordenadores de casa o redes públicas wireless.
6. Monitorizar el acceso y uso de la información importante. Conoce quien accede a que dato en busca de patrones que evidencien un abuso por parte del empleado mediante herramientas de gestión de logs, e impide su salida al exterior vía email implantando tecnologías Data Loss Prevention (DLP).
7. Monitorizar la información que existe en Internet sobre la organización. Vigilar la presencia en medios digitales de información para conocer lo que se dice y se ha publicado sobre nuestra empresa, los empleados o directivos y prever y reaccionar ante la difusión de información confidencial y crítica para la organización.
8. Conocer las últimas técnicas utilizadas en delitos de ciberespionaje, obtener asesoramiento por parte de empresas especializadas para el personal de seguridad puede mejorar el esfuerzo de protección que la empresa realiza al conocer los métodos más empleados por atacantes y organizaciones criminales.
9. Establecer capas de seguridad a todos los niveles (perímetro, puesto de usuario, salida...) para evitar posibles intrusiones tanto externas como internas y ajustar el nivel de protección al tipo y sensibilidad de la información.
10. Realizar tests de intrusión tanto externos como internos para conocer los riesgos existentes como parte de la política de seguridad corporativa.
S21sec Security Blog in English
Dear Bloggers,
For some time now the English and Spanish edition of the S21sec Security Blog have been sharing the same URL and the posts have been intermingled.
Now, we have a separate URL just for the English edition: http://securityblog.s21sec.com/
For some time now the English and Spanish edition of the S21sec Security Blog have been sharing the same URL and the posts have been intermingled.
Now, we have a separate URL just for the English edition: http://securityblog.s21sec.com/
You will find that all of the feeds are all in English which should make it easier to follow the blog. The blog is going from strength to strength and we aim to maintain our high standard of coverage with topical events, background research and security insights.
Thanks for reading.
Thanks for reading.
Ataques sobre el nivel 2 del modelo OSI (IV): Cisco Discovery Protocol
Cisco Discovery Protocol (CDP) es un protocolo propietario de Cisco, el cual permite comunicarse entre sí a diferentes dispositivos de red. Sin embargo, otros fabricantes pueden utilizar CDP si compran la tecnología (por ejemplo Hewlett-Packard). La manera más sencilla de identificar un paquete CDP es mirando las siguientes características: un paquete IEEE 802.3 con una cabecera 802.2 SNAP y la MAC destino de multicast 01:00:0C:CC:CC:CC.
Un paquete CDP siempre contiene información interesante sobre las propiedades del dispositivo que envía el paquete. Esta información puede contener por ejemplo:
No se utiliza autenticación al enviar o recibir paquetes CDP. Los datos se envían en texto plano. Esto hace que realizar ataques sea muy sencillo. Además, el formato de los paquetes CDP se encuentra explicado en el website de Cisco. Un paquete CDP se compone de los siguientes campos:
Si estamos conectados a una red que contiene dispositivos con CDP, el GUI mostrará los modos CDP de los dichos dispositivos. El primer ataque CDP se basa en la vulnerabilidad mencionada anteriormente. Para ello no se necesita información adicional. En el GUI de Yersinia, en modo CDP, teclea [x] y elige el ataque flooding CDP table.
La única contramedida válida contra los ataques CDP es desactivarlo con el comando: no cdp run. El propio protócolo no ha sido mejorado desde el punto de vista de la seguridad.
Un paquete CDP siempre contiene información interesante sobre las propiedades del dispositivo que envía el paquete. Esta información puede contener por ejemplo:
- nombre del dispositivo
- modelo
- versión de IOS
- dirección IP (puede contener más de una)
- dominio VTP
- características (switch, router, bridge etc)
No se utiliza autenticación al enviar o recibir paquetes CDP. Los datos se envían en texto plano. Esto hace que realizar ataques sea muy sencillo. Además, el formato de los paquetes CDP se encuentra explicado en el website de Cisco. Un paquete CDP se compone de los siguientes campos:
- Version (1 byte): indica la versión de CDP, normalmente es uno o dos
- TTL (1 byte) – Time To Live: Tiempo de vigencia del paquete CDP
- Checksum (2 bytes): verifica si el paquete está correcto
- TLV (variable length) – Series Type, Length, Value. Este es el campo que contiene los datos, éstos se encuentran representados por una lista de grupos TLV, cada TLV con el siguiente formato: Type (2 bytes) – tipo de datos (por ejemplo Device ID, Address, Port ID), Length (2 bytes) – longitud del TLV y Value (longitud variable) – el valor
Si estamos conectados a una red que contiene dispositivos con CDP, el GUI mostrará los modos CDP de los dichos dispositivos. El primer ataque CDP se basa en la vulnerabilidad mencionada anteriormente. Para ello no se necesita información adicional. En el GUI de Yersinia, en modo CDP, teclea [x] y elige el ataque flooding CDP table.
Resultado del ataque DoS a CDPYersinia también incorpora otro ataque que consiste en crear un dispositivo virtual Cisco. Cuando el administrador de red chequee los dispositivos vecinos a un dispositivo Cisco real verá en la consola todos los dispositivos virtuales creados. Este ataque no tiene consecuencias negativas salvo la molestia para el administrador de la red (quien probablemente intentará encontrar cuál es el nuevo dispositivo conectado a su red).
# show cdp neighbours
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
2EEEWWW Gig 0/1 253 yersinia Eth 0
ZCCCUU9 Gig 0/1 250 T S I r yersinia Eth 0
J222FFX Gig 0/1 249 R T yersinia Eth 0
WAAASS6 Gig 0/1 240 R B I r yersinia Eth 0
2IIWWWE Gig 0/1 249 T B H I yersinia Eth 0
K333FFX Gig 0/1 234 R T yersinia Eth 0
TBBBOO7 Gig 0/1 252 B H r yersinia Eth 0
3KKYKYY Gig 0/1 250 R B H yersinia Eth 0
TBBBPP7 Gig 0/1 252 S H I r yersinia Eth 0
Resultado del ataque DoS a CDP – log del switch
00:06:08: %SYS-2-MALLOCFAIL: Memory allocation of 224 bytes failed from 0x800118D0, alignment 0
Pool: Processor Free: 0 Cause: Not enough free memory
Alternate Pool: I/O Free: 32 Cause: Not enough free memory
-Process= "CDP Protocol", ipl= 0, pid= 26
-Traceback= 801DFC30 801E1DD8 800118D8 80011218 801D932C 801D9318
00:06:08: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:09: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:10: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:11: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:12: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:13: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:14: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:15: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:16: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:17: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:18: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:19: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:20: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:21: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:22: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:23: ../src-calhoun/strata_stats.c at line 137: can't not push event list
00:06:38: %SYS-2-MALLOCFAIL: Memory allocation of 140 bytes failed from 0x801E28BC, alignment 0
Pool: Processor Free: 0 Cause: Not enough free memory
Alternate Pool: I/O Free: 32 Cause: Not enough free memory
La única contramedida válida contra los ataques CDP es desactivarlo con el comando: no cdp run. El propio protócolo no ha sido mejorado desde el punto de vista de la seguridad.
Alfredo Andrés
David Barroso
S21sec e-crime
Suscribirse a:
Entradas (Atom)