ICANN - Internacionalización de los Nombres de Dominio

La ICANN, Corporación de Internet para la Asignación de Nombres y Números de Internet, - Organización sin ánimo de lucro que opera a nivel internacional, responsable de asignar espacio de direcciones numéricas de protocolo de Internet (IP), identificadores de protocolo y de las funciones de gestión del sistema de nombres de dominio (DNS); decidirá, en una reunión hoy viernes en 36 Encuentro Publico Internacional que tendrá lugar en Seúl si incorpora secuencias de comandos no basadas en caracteres latinos.

El nuevo modelo propuesto, denominado Internacionalización de los Nombres de Dominio (IDN- Internationalized Domain Name), es un nombre de dominio en el que se pueden escribir caracteres no ASCII. Hasta ahora, desde la invención de Internet hace 40 años, el nombre de dominio sólo lo componían caracteres latinos.

Con la nueva propuesta sería posible escribir direcciones en alfabetos diferentes, como el árabe, griego, hindi, japonés, coreano y el cirílico.

La globalidad de Internet encuentra una barrera en el lenguaje que puede suponer un obstáculo para su evolución. Según algunas fuentes, el acceso multilingüe no será real hasta que no se logren nombres de dominio multilingües y la internacionalización de los estándares y protocolos de nombres de Internet. La ICANN espera con el cambio llegar a los millones de usuarios de Internet que hablan idiomas que no usan caracteres latinos.


La conversión entre las formas ASCII y no-ASCII de un nombre de dominio se realiza mediante algoritmos llamados ToASCII y ToUnicode.

El modelo ha sido probado durante años para conseguir que el sistema de nombre de dominio traduzca varias secuencias de comandos diferentes en una única dirección y así poder garantizar que los usuarios accedan a la web correcta.

Esta internacionalización de los nombres presenta varios problemas, uno de ellos es el relacionado con los caracteres homógrafos (palabra que teniendo distinta significación que otra, se escribe de igual manera que ella)

Diferentes caracteres en diferentes lenguajes pueden parecer iguales, dependiendo de la fuente (tipo de letra) utilizada. Por ejemplo, el carácter Unicode U+0430 ("a" cirílica minúscula), puede parecer idéntico al carácter Unicode U+0061 ("a" latina minúscula, utilizada en el idioma español).

La similitud de caracteres sólo se encuentra en la versión Unicode del nombre de dominio, ya que la versión ACE de los dominios es diferente, lo que nos lleva a descubrir las diferencias. Por ejemplo, sabiendo que la primera "a" de pаypal.com es una "a" cirílica, la versión ACE del dominio es xn--pypal- 4ve.com.

Este mismo problema surge en el uso de IDN para dominios de primer nivel. Así, Rusia no quiere confundirse con Paraguay: el actual código de caracteres de país para Rusia es “.ru”, cuyo equivalente cirílico se parece mucho al código latino para Paraguay “.py”.

Si la propuesta llega a buen puerto, tendríamos que esperara hasta mediados de 2010 para ver los primeros nombres de dominio no latinos se resuelvan en Internet.

Según Peter Dengate Thrush, presidente de la Junta de la ICANN, "Este es el mayor cambio técnico de Internet desde su invención."

Desde un punto de vista de la seguridad también hay una enorme cantidad de trabajo necesaria. Por ejemplo, simples confusiones de dominio por parte de usuarios podrían considerarse como spoofing para el administrador de red que recibe la petición. Por otra parte, los pocos usuarios capaces de reconocer una URL falsa "a simple vista" lo tendrán mucho más difícil. Y, en esta misma línea, los sistemas de detección antiphishing han de tener en cuenta un grado de complejidad adicional.

Esperemos que esta propuesta de internacionalización no desemboque también en un pico histórico de fraude electrónico.


Para saber más:
http://www.icann.org/en/topics/idn/fast-track/idn-cctld-implementation-plan-30sep09-en.pdf

http://www.blackhat.com/presentations/bh-usa-09/WEBER/BHUSA09-Weber-UnicodeSecurityPreview-SLIDES.pdf


Fuentes:
http://www.fundacion.telefonica.com/
http://www.icann.org/


Paula Remírez Ruiz
Vigilancia Digital

Un par de opiniones (parte 1)

Cuando se habla de la seguridad de los sistemas de control, hay un par de cosas con las que no estoy de acuerdo en cómo se abordan y de las que se habla en términos demasiado generales. Esta semana publicamos la primera y la semana que viene la segunda.


1. Sistemas tiempo real y determinismo

En la mayoría de los sistemas reales, no es necesario el determinismo. Y dentro de los sistemas que lo necesiten, la necesidad de tiempo real estará restringida a unas partes concretas.

Si un sistema de control lo consideramos como una superposición de capas, sólo la primera capa (la que interacciona directamente con el sistema físico) es la que puede tener mayor necesidad de velocidad y determinismo.

En un sistema de control podemos encontrar muchas aplicaciones de soporte y gestión cuyas necesidades de transferencia y procesado de la información deben ser tenidas en cuenta. Podemos encontrar aplicaciones de gestión de producción, calidad, eficiencia, trazabilidad, mantenimiento, control estadístico, gestión de stocks....

Estos paquetes de software se han integrado dentro de los sistemas de control para poder obtener los datos necesarios (inputs) directamente del sistema y enviar sus resultados.

Anteriormente se tomaban "a mano" (escritura de los datos en formato papel o electrónico) y luego se introducían en la aplicación correspondiente, para obtener o mantener una información que luego se empleaba utilizar en la operación del sistema.

La información que manejan estas aplicaciones puede dividirse en tres categorías:

• Información necesaria para producir un bien (o prestar un servicio)
• Información sobre la capacidad de producir un bien o prestar un servicio
• Información sobre el estado actual de la producción del bien o prestación del servicio (sería la imagen del proceso)

En principio todo esto podría tratarse como un sistema de información puramente IT.

La amenaza es la interconexión con la parte puramente productiva y que los canales de lectura de información sean empleados para afectar negativamente al sistema.

Si nos centramos en un SCADA, considerándolo el nivel más alto desde el cual podemos ejecutar una orden sobre el proceso productivo, nos encontramos con que un operario no está continuamente realizando operaciones sobre la interfaz, ni tampoco los procesos o servicios de procesado de información del SCADA requieren una alta frecuencia ni determinismo y pequeños retardos son perfectamente asumibles (siempre y cuando el SCADA esté bien hecho y no asuma funciones que no debiera tener. Por ejemplo, realizar el enlace entre dos plc's para una sincronización de operaciones dependientes (pero sí que podríamos usar el SCADA para intercambiar información no esencial, que puede mejorar el comportamiento del sistema pero que debe ser prescindible). Una conexión entre dos plc's para sincronizarse o realizar una operación conjuntamente, requiere una conexión física directa a través de una red exclusiva de plc’s o a través de entradas/salidas.

Lo que si es necesario es que las comunicaciones sean fiables y las órdenes dadas se ejecuten (la información que muestra el SCADA está actualizada y la escritura se realiza).

En un SCADA tendremos:

• imagen de proceso (a partir de los datos suministrados por drivers de comunicaciones)
• interfaz gráfica
• gestión de eventos
• comunicaciones con otras aplicaciones (conexiones a bases de datos, envío de información a través de ficheros de texto plano o xml)

El tiempo total desde que se produce un cambio en el sistema físico hasta que una acción se ejecuta en respuesta a ese cambio físico se descompone en:
1- detección del cambio en el sensor

2- transferencia de información desde el sensor hasta el procesador
3- cálculo de la respuesta:

• directamente en el procesador (toda situación que pueda conceptualizarse y calcularse directamente debe realizarse a este nivel, a pesar de que un SCADA tiene gran capacidad de programación y pueda ser más "agradable" de utilizar).
• o envío de la información al SCADA, visualización por parte del operador, cálculo de la respuesta en la mente del operador, operación en el SCADA y envío al procesador (en un SCADA también podemos dar órdenes para el inicio, pausa y/o fin de operaciones de acuerdo a una planificación establecida y no como respuesta a un evento físico.

4- envío de órdenes desde el procesador a las salidas
5- ejecución de la orden en el accionamiento físico

Si consideramos la variabilidad del tiempo de respuesta cuando incluimos el factor humano y la parte física del sistema, vemos que no debiera existir tanta exigencia.

Con los avances en la sensorización, en los procesadores y en las comunicaciones, el factor de velocidad de transferencia de información ha dejado de ser tan determinante.

En un SCADA deben estudiarse las diferentes señales que tenemos y la dinámica asociada de las variable físicas para definir los ciclos de lectura y ajustar el tráfico de la red a las necesidades reales. En mi opinión, un SCADA (excluyendo la parte de drivers de conexión) también podría analizarse con métodos de IT.

En conclusión, lo realmente importante es realizar una segmentación física adecuada de las redes y sólo estudiar de manera especial la parte específica de "comunicaciones industriales": no encriptadas y con protocolos que pueden encontrarse fácilmente en internet.

La semana que viene: 2. Un ciber-ataque puede causar daños en las instalaciones e incluso a las personas.

Diego López
S21sec labs

Rompamos AES-128. Yo no puedo ¿Y tu? ... Tampoco

En un comentario de un post anterior en el que se trataba de comparar el poder computacional de las grandes supercomputadores actuales con el poder de computación que se podría lograr con una botnet, se preguntaba sobre la posibilidad de romper una clave criptográfica AES de 128 bits con los recursos de una botnet. El tema es interesante, y en este post vamos a intentar tratar este asunto.

Lo primero de todo, deberíamos decir que, con la computación actual, romper la clave AES de 128 bits por fuerza bruta es inviable.

Vamos a simplificar el problema: para una clave de 128 bits de longitud tendríamos 2¹²⁸ claves a comprobar; vamos a asumir que necesitamos un flop para comprobar si la clave es válida o no y vamos también a asumir que estamos en el peor caso posible, es decir, tenemos la mala suerte de que la clave válida es la última que comprobamos.

III ENISE

Hoy ha comenzado en León el tercer Encuentro de la Industria de la Seguridad en España (ENISE), un evento organizado por INTECO donde se aglutinan más de 150 ponentes de las empresas e instituciones más importantes del ámbito nacional, y que S21sec patrocina. Durante tres días se irán debatiendo y exponiendo diferentes temas y enfoques relacionados con la seguridad de la información, siendo hoy el reservado para la innovación en seguridad en la sociedad de la información, mañana miércoles se dedicará al negocio e innovación en seguridad, y por último, el jueves se tratará la innovación en servicios electrónicos seguros. Cada uno de los días se comprende de sesiones plenarias, de carácter estratégico, y de talleres, donde el contenido se supone más práctico.

Durante el día de hoy, dentro de los talleres dedicados a la innovación en seguridad, se tocarán temas relacionados con el ciberterrorismo y las nuevas formas de delincuencia, donde David Barroso ha hablado sobre los mitos en el mundo del fraude electrónico, intentando de esta forma aclarar y alejar falsas creencias en este ámbito. Otros de los talleres interesantes de la jornada de hoy son los centrados en la seguridad de dispositivos móviles o en las redes sociales y su privacidad. Además, mañana también participaremos con Juan Antonio Gómez Bule en la sesión plenaria que trata sobre innovación en servicios electrónicos seguros.

Podéis encontrar más información en la página oficial del evento, y si estáis por aquí no dudéis en saludarnos.


Jose Miguel Esparza
S21sec e-crime

Criptovirología: Del polimorfismo a la kleptografía

La criptografía viene empleándose en el diseño de Malware casi desde antes que se empleara en el diseño de SOFTWARE legitimo :)

Inicialmente se utilizó como una protección frente a la ingenieria inversa y contra la detección mediante cadenas y patrones: El virus cifraba su código mediante una clave y una operación sencilla, reversible, como puede ser un simple cifrado XOR con clave aleatoria.

Seguidamente se construía una rutina de descifrado, que recibía el control al ejecutar el programa infectado, y que descifraba el cuerpo del virus en tiempo de ejecución para, posteriormente, pasarle el control. La rutina de descifrado se generaba de manera que las instrucciones que la componen son diferentes cada vez, pese a realizar la misma tarea.

Al emplearse una rutina de descifrado variable y encontrarse el resto del virus cifrado con una clave también variable se lograba evitar que los investigadores pudieran crear una firma, un patrón, que pudiera emplearse para buscar y detectar el virus en todos los ficheros del disco. A esto se le denominó polimorfismo.

Remontándonos en el pasado en busca de otros ejemplos de la utilización de la criptografía en el diseño de MALWARE nos encontramos con el virus [1] ONE HALF.

ONE HALF llamó la atención de los investigadores por su manera de operar en un sistema infectado: Un HOOK en la interrupción 13h permitía al virus monitorizar la lectura y escritura de sectores a disco. En cada arranque ONE HALF cifraba ciertos sectores empleando una clave aleatoria almacenada en el propio cuerpo del virus. La información en disco, cifrada, era descifrada por el virus “al vuelo” empleando este HOOK y sin que el usuario pudiera notarlo.

Ya está aquí, ya llegó.

Llegó el gran día, ayer fue lanzado oficialmente al mercado el nuevo sistema operativo de Microsoft: Windows 7. Tras las críticas cosechadas por su predecesor Windows Vista, los de Redmond han realizado una apuesta en firme con su nuevo producto y han obtenido una calurosa acogida previa, aunque es ahora cuando empieza su verdadero examen con los auténticos usuarios.
Como es habitual Windows 7 se presenta en varias versiones diferentes. Seis opciones para PCs convencionales y una séptima, adecuada a los últimamente tan de moda mini portátiles o netbooks, llamada Windows 7 Starter Edition.
Las tres fundamentales son:

• Windows 7 Home Premium.
• Windows 7 Professional.
• Windows 7 Ultimate.

En cuanto a sus mejoras según asegura ‘la casa de las ventanas’ el nuevo sistema es más ágil, aunque en realidad esta cualidad es dependiente de los recursos del ordenador (cantidad de RAM, el procesador...). En lo que respecta a seguridad también ha sido mejorado tanto a nivel de usuario como corporativo y cuenta con el sistema Bit Locker (ya presente en Windows Vista) en su edición Ultimate.

En general se trata de un sistema operativo muy intuitivo con un escritorio que ofrece multitud de opciones de colocación de ventanas, con simples movimientos de ratón. Además, dispone también de la nueva función ‘Jump List’ que nos permite acceder a los últimos documentos utilizados con un programa, simplemente posicionándonos encima de su icono y haciendo clic en el botón derecho del ratón.

Asimismo, con sus nuevas características de transferencia de datos multimedia y su facilidad para conectarse en red el nuevo sistema puede convertirse en un fantástico gestor de contenidos multimedia en un entorno doméstico.


Con el objetivo de no dejar a nadie indiferente Microsoft ha apostado por una llamativa campaña publicitaria, que le ha llevado por ejemplo en EEUU, a comprar un episodio de una famosa serie de animación en la que sus protagonistas destacarán las bondades de su producto en momentos puntuales a la vez que lanzarán alguna indirecta contra la competencia. No menos extravagante ha sido la campaña de marketing en España, donde por motivo de su nombre han elegido un pueblo asturiano llamado Sietes para hacer su lanzamiento, han adornado sus calles con anuncios y han alfabetizado digitalmente a su población.


Y de este modo se presenta Windows7. Las bases parecen adecuadas pero todo esta por ver ¿Conseguirá hacer olvidar la incertidumbre originada por Windows Vista y aupar de nuevo a firma americana a lo más alto del mercado?
Windows 7 al rescate.

Fuentes y enlaces de interés:

http://www.elpais.com/articulo/tecnologia/Iniciar/Windows/elpeputec/20091022elpeputec_4/Tes
http://emea.microsoftstore.com/es/Microsoft/Windows/Windows-7

http://iphoneros.com/?p=5611
http://www.tgdaily.com/content/view/44377/140/
http://www.muylinux.com/2009/10/21/ibm-apuesta-por-linux-no-por-windows-7/

Amaia Urtasun
S21Sec e-crime

Ataques a sistemas críticos

En esta ocasión vamos a hablar sobre un tema muy relacionado al mundo de los SCADA, y es el estudio constante que se está haciendo en el ámbito militar sobre dispositivos capaces de lanzar ciberataques a distintos objetivos de interés. Como no puede ser de otra manera, EE.UU está al frente en esta carrera tecnólogica y es el país que más tiempo y dinero invierte en ello. Esto puede ser debido a los conflictos armados más recientes, como el de ejército israelí y Hamas, o Georgia y Rusia. En este último caso además de la movilización de tropas, también hubo diferentes clases de ciberataques a redes y servidores gubernamentales, como por ejemplo "Denial Of Service".
EE.UU está buscando una herramienta para duplicar el tipo de ataque, es más, el Departamento de Defensa ha firmado varios contratos con compañías IT para diseñar un rango de posibles ciberataques. El problema está en que hoy en día sólo unos pocos (con suficientes conocimientos) podrían dirigir un ataque con este tipo de dispositivo, por lo que dicho dispositivo tiene que ser manejable por los soldados, sin la necesidad de tener conocimientos técnicos en cuanto a hacking o protocolos de seguridad. El dispositivo estaría controlado mediante comandos de deslizamiento (sliders), con los que el soldado podría especificar el tipo de ataque a realizar (ataque lento pero con gran precisión o un ataque más rapido y devastador en situación de peligro). Esto daría a los soldados la capacidad de invadir redes enemigas.

Además de poder atacar redes inalámbricas, el dispositivo podría interferir en comunicaciones satelitales o de Voz sobre IP. Sin embargo, lo que resulta interesante sería la capacidad de penetrar sistemas SCADA como plantas nucleares, refinerías de petróleo o plantas eléctricas. Esto supondría una manera muy eficaz de atacar a los puntos más críticos y estratégicos de un país, logrando una ventaja muy importante en una guerra. Las diferentes formas de ciberguerra se están haciendo notar cada vez más, y los gobiernos están dándole mayor importancia, por lo que están invirtiendo cada vez más dinero en esta materia.

Fuente:http://www.aviationweek.com/aw/generic/story_channel.jsp?channel=defense&id=news/CYBER052109.xml

Iker Berriozabal
S21sec labs

Nuevos ataques mediante ingeniería social

En los últimos días nuestras herramientas de detección han detectado dos nuevas olas de ataques mediante correos maliciosos especialmente dirigidos a empresas e instituciones, que mediante ingeniería social intentan engañar a los usuarios para instalar software malicioso en sus equipos.

En la primera de ellas, haciéndose pasar por una actualización de Microsoft Outlook Web Access (OWA), se avisa al usuario que debe ejecutar una aplicación en su ordenador actualizar la configuración de su cuenta de correo. A continuación se muestra una captura de la web fraudulenta.

La dirección URL en el correo electrónico parece que lleva a la página del OWA de la propia empresa, por lo que deberán prestar atención aquellas empresas en las que utilicen este sistema de correo. Una vez se accede a la página, ésta intenta se descargue un binario en el equipo del usuario.

Lo que hace a este mensaje realmente peligroso es que esta personalizado de manera que el usuario piense que el correo ha sido enviado por el equipo de soporte del dominio, spoofeando la dirección del From del mensaje para simular proceder del mismo.

En la segunda ola recibida "Microsoft" nos envía un aviso de actualización critica de Outlook y Outlook Express presentándonos un enlace para descargarlo, A continuación se muestra una captura de pantalla del correo fraudulento.




Es muy importante señalar que en ambos casos NO se explota ninguna vulnerabilidad, sino que simplemente solicita la descarga del binario, por lo que un usuario que se niegue a su descarga y ejecución no resultaría infectado.

En ambos casos el binario que pretenden que instalemos en nuestros ordenadores se corresponden con un mismo troyano, nuestro archiconocido Wnspoem/Zbot (ZeuS). Además la configuración que descarga el troyano es la misma en ambos correos, así que podemos deducir que el grupo de ciberdelicuentes que esta detrás de estos envíos es el mismo.

Como siempre, recomendamos tener cautela con cualquier correo en el que se solicite la descarga de binarios o la introducción de credenciales además de desconfiar de cualquier correo de remitentes desconocidos.

David Ávila
S21Sec e-crime

KRAKEN vs. KRAKEN

La semana pasada me llamó la atención la noticia de que el supercomputador Cray XT5 conocido como Kraken perteneciente al Instituto Nacional para las Ciencias de la Computación (NISC) había sido ampliado convirtiéndose en una máquina de 96.000 núcleos de cómputo. De esta forma, el Kraken se convertía en el mayor computador de uso científico, sobrepasando el petaflop y por tanto escalando posiciones hasta situarse dentro de los 5 mayores supercomputadores del mundo. Esto me recordó a la botnet también conocida como Kraken, que se hizo famosa el año pasado por llegar a ser la botnet más grande del mundo superando a la gran Storm.

Ciertamente es curiosa la comparación: el supercomputador Kraken ha alcanzado este año los 96.000 núcleos mientras que la botnet Kraken, en Abril del año pasado contaba con más de 400.000 víctimas distintas observadas a lo largo de un día. Es cierto que el número de víctimas observadas de esta botnet son a lo largo de un día y por tanto no se puede decir que se dispongan de 400.000 equipos disponibles de forma simultánea y continua, también es cierto que los procesadores de las víctimas infectadas, en su mayoría, serán peores y las comunicaciones entre ellos no están optimizadas para el cómputo como lo están en los de los supercomputadores. Sin embargo, la diferencia en número de núcleos (contando a un núcleo por cada víctima infectada, pese a que hoy en día es habitual contar con procesadores domésticos con dos y cuatro núcleos) es notable, y eso que la diferencia en la comparativa tiene más de un año.

La comparación entre supercomputadores y botnets es, cuando menos, curiosa. De hecho, las redes de ordenadores domésticos ya vienen siendo utilizadas como supercomputadores desde hace mucho tiempo en los proyectos basados en la Berkeley Open Infrastructure for Network Computing (BOINC). Pese a que es difícil estimar el número de equipos infectados en las diferentes botnes, este verano se publicó el top-ten de las botnets en Estados Unidos. Esta lista va desde Zeus y Koobface con 3.6 y 2.9 millones de equipos infectados en Estado Unidos respectivamente hasta la famosa Conficker con 210.000 equipos infectados en Estados Unidos. Estas cifras, supuestamente, corresponden a una estimación del total de equipos que han sido infectados sólo en Estados Unidos, y no implica ni que todos ellos formen parte a la vez de la botnet, ni siquiera que todos ellos estén controlados por un mismo botmaster (es sabido que Zeus no es una única botnet como tal sino un conjunto de ellas que actúan de forma separada). Pese a todo, y pese a que la comparación no es directa, echando un vistazo a la lista de los mayores supercomputadores del mundo las cifras asustan. Según la última lista, actualmente, el mayor computador del mundo es el Roadrunner que cuenta con 129600 núcleos de cómputo. Como se ha dicho antes, no es comparable la potencia de cómputo de los mayores supercomputador del mundo (por disponibilidad y optimización de su arquitectura) con la de una botnet, pero los recursos computacionales de los que disponen los botmasters sí que podrían ser equiparables a otros supercomputadores más modestos, y todo esto para hacer cosas malas .... ¿no asusta un poco el poder del que disponen?

Guzmán Santafé
S21sec labs

Extracción de Información (2)

Correferencias

En el anterior artículo sobre extracción de información halábamos sobre la importancia de localizar entidades con nombre como lugares, personas, organizaciones, etc. en documentos extraídos de Internet para monitorizar y proteger la información pública relativa a los activos de información de una compañía (datos personales de directivos, eventos públicos, productos y servicios, etc.).

Para mejorar la calidad y el estilo en la redacción de textos es aconsejable evitar la repetición de palabras, en especial nombre propios.

La Resolución de Correferencias es el proceso de extracción de sintagmas nominales que se refieren a la misma situación en el texto. Este proceso es vital para aplicaciones relacionadas con el procesamiento del lenguaje tales como la traducción automática, resumen automático de textos y sistemas de pregunta-respuesta.

Podemos distinguir tres tipos de correferencias:

• Correferencia pronominal: Utilización de pronombres para referirse a una entidad.
  

  Vamos a perder esta votación y esta moción le llegaría al Gobierno. Él verá cómo actúa.

• Correferencia ortográfica: Variantes del mismo nombre relacionados ortográficamente, abreviaturas de nombre, acrónimos, etc.
  

  El presidente del Gobierno, José Luis Rodríguez Zapatero, anunció ayer (...). También anunció Zapatero que su Gabinete estudiará (...).

• Correferencia metonímica: Utilización de conceptos semánticamente relacionados con la entidad.
  

  La alegría que recorrió ayer la Bolsa tuvo como uno de sus protagonistas a Telefónica. El valor subió un 2,09%, hasta los 17,84 euros por acción, después de que el primer operador nacional de telecomunicaciones aguantara el tipo en la zozobrante coyuntura económica actual (...). La compañía que preside César Alierta ganó (...)
  
  

¿Cómo podemos resolver la correferencia?

Existen varias aproximaciones para encontrar referentes de una entidad. Examinemos una de ellas, basada en aprendizaje automático, propuesta por [2]. Para clasificar se extraen atributos de cada posible referente tales como:

• Distancia entre referente y referido.
• Categoría gramatical (nombre, pronombre, etc.)
• Si el posible referente es una subcadena del referido
• Si es un sintagma nominal
• Concordancia de género
• Concordancia de número
• Tipo de entidad si es una entidad
• Si referente y referido están en aposición

Partiendo de un conjunto de documentos donde hemos identificado manualmente los referentes y referidos, se entrena un clasificador (SVM, redes neuronales, etc.) y posteriormente se utiliza este clasificador para determinar si existe correferencia entre los términos.

La resolución de correferencias nos ayudará a obtener una mayor cobertura en el análisis de textos donde el objeto de estudio se centre en determinadas entidades con nombre.

Referencias:

[1] Orsan, C., Cristea, D., Mitkov, R., Branco, A. Anaphora resolution exercise: An overview. In: Proceedings of the Sixth International Language Resources and Evaluation (LREC'08), Marrakech, Morocco (May 2008)

[2] Wee Meng Soon , Daniel Chung , Daniel Chung Yong Lim , Yong Lim , Hwee Tou Ng. A Machine Learning Approach to Coreference Resolution of Noun Phrases (2001)

Israel Varea
S21Sec e-crime

Formación de desinformación

La asistencia a los cursos de formación sobre tecnologías no suelen estar mal. A veces te cuentan cosas interesantes, y otras simplemente cosas. Pero pocas veces una formación te da más ánimos para trabajar que darte cuenta de que realmente lo que haces sirve para algo al ver como están las cosas.

Acabamos de salir de una formación sobre SCADA, y realmente ninguno de todo el grupo pensábamos que las cosas podían ser como nos las han contado, y tener tanto trabajo por delante. Lo cierto es que todo el mundo sabe que la seguridad, o ciber seguridad, que se aplica sobre los sistemas SCADA es muy básica por muchas cosas, la primera de todas porque antes era un mundo aislado enfocado al cien por cien a la fábrica. Hoy las cosas han cambiado, y la aparición de las redes acrecienta sus limitaciones.

Aunque no todo es culpa de las redes, con esta formación nos hemos dado cuenta que uno de los mayores problemas son los propios operarios y la facilidad que tienen para poder cambiar parámetros del sistema SCADA, siempre en pro de su bienestar (que suele traducirse en no puedo trabajar porque la máquina no arranca, todo gracias a un cambio una variable de un PLC).
Esto es gracias a que prácticamente el cien por cien de los drivers necesarios para los PLC están disponibles en Internet, de manera más o menos legal (no comentaremos nada de los del parche en el ojo), y que permiten hacer un descubrimiento de elementos de campo instalados y la modificación de sus rutinas de funcionamiento.

Los propios programas de visualización (HMI) suelen presentar algún tipo de autenticación para limitar las funciones a las que tiene acceso cada usuario dentro de la representación del SCADA, pero se lo puede saltar uno sin mucho esfuerzo o buscando un poco en Internet.

En conclusión, seguiremos trabajando en todos los componentes de la cadena, desde el elemento de campo hasta el operario de la fábrica, para mejorar la seguridad de los sistemas SCADA.

Jairo Alonso
S21sec Labs

Vulnerabilidades en Routers 2Wire

La empresa 2Wire es de las compañías lideres en cuanto a routers caseros, con presencia en muchos países como son Estados Unidos, Canadá, Inglaterra, Singapur, Nueva Zelanda, Filipinas y México.

En México, donde hemos tenido un monopolio de telecomunicaciones hasta hace algunos años, la mayor cantidad de usuarios (con mucha diferencia) pasa por la compañía Telmex donde el principal dispositivo de conexión a internet es el router "2Wire".

En el año 2007 fue publicada una vulnerabilidad en el modelo mas común de México, que permitía entre otros ataques "drive-by pharming". Según Symantec este fue el primer caso de "drive-by pharming" on-the-wild detectado, que consiste en que aprovechándose de la falta de autenticación y vulnerabilidades de "Cross Site Request Forgery" es posible modificar la tabla de hosts del router, redireccionando dominios de bancos a direcciones fraudulentas por ejemplo.

El ataque fue principalmente difundido a través de correos electrónicos formato "Tipo Postal". Donde la víctima accedía al correo y como este incluía imágenes y código en HTML, aún si la víctima no lo tenía habilitado por default, al momento de habilitar la vista de HTML y leer el correo, se "infectaba" el router (a través de un ataque de pharming), sin importar el sistema operativo y afectando a todas las computadoras que estuvieran conectadas en esa red.

Inicialmente se creía que el problema radicaba en la falta de autenticación, debido a que un usuario sin sesión podía modificar la configuración del dispositivo y para los casos en los que el dispositivo tenia contraseña, el ataque no se podía realizar. Así que se emitió una actualización, la pagina "H04", que obligaba a establecer una contraseña cuando no se tenía una establecida previamente. El problema derivado de esta actualización fué, que se podía tener acceso a la misma, en cualquier momento y cambiar la contraseña establecida por una nueva sin necesidad de conocer la anterior.

Esto en lugar de solucionar el problema de seguridad, abría un nuevo fallo/bug más grande, ya que los módems que ya tenían contraseña establecida quedarían vulnerables ante esta actualización.



Recientemente, en una de las conferencias más reconocidas dentro del campo de la seguridad - Defcon 17, Pedro Joaquín, Security Auditor de S21sec México, realizó una presentación donde se mostraban nuevas vulnerabilidades que aún siguen afectando a este router y que permiten de nuevo, realizar ataques "drive-by pharming".

La vulnerabilidad principal se encuentra en la pagina “CD35_SETUP_01” permitiendo establecer una contraseña nueva sin conocer la establecida previamente. Es posible mediante esta misma página eliminar la contraseña anterior y dejar el router sin autenticación.




A día de hoy la mayor cantidad de routers en México, no han sido actualizados y existen muchas vulnerabilidades que afectan a este dispositivo. Entre las vulnerabilidades sin actualización, se permiten entre otras técnicas, realizar denegaciones de servicio, cross site request forgery e incluso la obtención remota de la configuración completa del router.


S21sec México

Ocio en la seguridad

La seguridad es un término que cada día adquiere mayor importancia, forma parte de uno de los principios inherentes del ser humano, que es el principio de conservación de la especie. Este principio es el que lo mantiene vivo y alejado de los peligros que acechan constantemente al ser humano y por lo tanto, es lo que permite la supervivencia de la especie junto con la reproducción. De igual forma que se aplica al ser humano, también se aplica a la información y bienes físicos.


Recientemente se han publicado en este blog varias entradas mostrando la aplicación de la tecnología a la seguridad vial, que podemos consultar en las entradas de nuestros compañeros Seguridad Vial (Aitor Corchero) y Monitorizando automáticamente el tráfico (Eduardo Morrás) , y se sigue trabajando en sistemas preventivos aplicados a la circulación, al tráfico, sistemas de análisis de conducta en peatones, sistemas inteligentes de frenada implantados en los vehículos, etc.


Como último dato sobre este tema, mostrar algo del trabajo que viene realizando Volvo últimamente con relación al caso. Dispone de innovaciones como, el Driver Alert Control que analiza la conducción y puede determinar si el conductor se ha quedado dormido, el Collision Avoidance By Auto Steering, por el que se analiza el tráfico cercano para advertir al conductor y recupera la normalidad. Emergency Lane Assist con el que se evita el abandonar la calzada o el City Safety con el que se pueden evitar golpes frontales por el que se advierte a los conductores posteriores de las situaciones de frenado.



Las nuevas tecnologías tienen gran importancia en los vehículos, dado que en ellos se pasa gran cantidad de tiempo y por desgracia mueren demasiadas personas al año.

Otro ejemplo de la aplicación de tecnologías a sectores no IT y por el que se publica esta entrada, es el rumor de que FAST va a hacer uso de las tecnologías de Nintendo para llevar a cabo sus controles preventivos en los aeropuertos en su lucha contra el terrorismo.



Como se comenta en el artículo, tienen pensado utilizar la tabla de ejercicios de Wii Balance BoardNintendo para comprobar reacciones de las personas y de esa forma poder detectar anomalías. Según ellos, las personas con síntomas de nerviosismo o agitación, suelen balancear el peso del cuerpo con mucha frecuencia, que es lo que vendría detectando el periférico de Nintendo. Sin embargo, no es un sistema seguro aunque esto sumado a las medidas de seguridad actuales, ofrece mayor consistencia a los sistemas.


El principal problema que se detecta a simple vista es que si bien, estas pruebas se les pueden realizar a todo el mundo, existen personas que con facilidad no se ven afectadas por esas reacciones esperadas y por otro lado, el hecho de no conocer las condiciones en estado de reposo de las personas. El mero hecho de viajar o llevar a cabo la prueba puede generar situaciones de nerviosismo y estrés, existen personas capaces de controlar a la perfección estos valores e incluso se puede dar el hecho de que la persona en cuestión esté abatida por otros motivos, con lo que para llevar a cabo un sistema similar, hay que encontrar el sistema de eliminar los resultados falsos, tanto positivos como negativos.

Sin embargo existe otro problema añadido, si el sistema va a utilizar la Wii Balance Board, existe una limitación de peso según comenta el fabricante y no resultaría extraño encontrar terroristas malvados que utilicen pesas para sobrecargar la tabla o sencillamente villanos desalmados que pesen más, en el caso de que fuese un sistema fiable, se deberían corregir este tipo de limitaciones. Aunque recordando las noticias de hace unos años, es posible que como medida, nos acaben desnudando en el aeropuerto sin que lo sepamos…

Juan Manuel Sanesteban
S21sec labs

---

Algunas fuentes:

http://blog.s21sec.com/2009/09/seguridad-vial.html de Aitor Corchero.
http://blog.s21sec.com/2009/09/monitorizando-automaticamente-el.html de Eduardo Morrás.
www.univision.com
www.xataka.com
www.en.wikipedia.org
news.bbc.co.uk

Visualización de datos y análisis de foros

Unos meses atrás un compañero hacía una introducción a la visualización de datos en la que definía el término y la metodología básica para “materializar” una información de manera gráfica.

Podemos ver diferentes ejemplos aplicados a nuestro campo en SecViz, sitio especializado en el tema donde encontraremos representaciones visuales creadas a partir de flujos de comunicación entre sistemas autónomos, nodos y relaciones en una botnet o basadas en la estructura de códigos maliciosos por poner algunos ejemplos. Sin duda esta técnica nos permite un mayor entendimiento de fenómenos complejos con grandes cantidades de datos y relaciones a tratar, resultando en un enfoque indispensable como complemento a otros tipos de análisis.

Me preguntaba hasta que punto sería posible aplicar está técnica al estudio de foros como el desmantelado darkmarket y similares con el objetivo de representar las relaciones entre usuarios, mensajes , acciones y poder establecer ciertos parámetros como el grado de “implicación” de los usuarios en el sistema, su especialización (compra y/o venta de información, soporte, recursos , desarrollo,etc.) y en general cualquier dato que pueda ayudar a conseguir una mejor perspectiva de este entorno.

Sería un concepto similar al recientemente abandonado Nexus aplicado a Facebook o al mapa de relaciones que Josh On creó en theyrule donde a partir de información pública crea una gráfica interactiva de instituciones, directivos y su relación entre ellos.


En un caso hipotético empezaríamos definiendo la información que queremos visualizar: a nivel básico serían las relaciones entre los miembros del foro, su “peso” específico dentro del mismo y el grado de especialización (que constaría de distintas categorías). Para este menester sería necesario crear un sistema de puntuación de la relevancia de mensajes y usuarios, además de otro de clasificación que englobe aquellos aspectos tratados en ese foro (carding, venta de infraestructura, desarrollo de malware, etc.) para obtener el tipo de especialización/importancia de un usuario.

Paralelamente evaluaríamos los datos iniciales que serían en un principio aquellos accesibles a través de la parte pública del foro (nombre de usuario, número de mensajes enviados total, número de mensaje nuevos, número de respuestas, antigüedad, rango interno, respuestas por mensaje, visitas de los mensajes, etc.) y los datos obtenidos fruto de aplicar los algoritmos de puntuación/clasificación previamente comentados (puntuación respecto a una categoría, respecto a otros usuarios, especialización, relevancia de mensajes, etc.).

Supongamos que hemos superado con éxito las etapas de definición del problema, evaluación y recolección de datos, hemos conseguido establecer los parámetros comentados previamente y finalmente todos estos datos quedan plasmados en el archivo analysis.csv, incluyendo tanto la información extraída del análisis del foro como la “deducida” por nuestros algoritmos.

En la siguiente etapa (transformación visual), deberíamos saber qué tipo de gráfico utilizaremos para que la información se pueda visualizar de manera clara. Podemos utilizar una herramienta como Afterglow mediante el comando “cat analisys.csv | perl afterglow.pl -c color.properties > analysis.dot” para generar un archivo compatible con GraphWiz, o crear la gráfica con herramientas como yET , prefuse, Ggobi o alguna solución comercial como Touchgraph .

Después de pasar nuestro archivo ficticio por Touchgraph el resultado es un mapa de relaciones interactivo (ver la siguiente ilustración para hacerse una idea del aspecto) donde se muestra la puntuación del usuario, relaciones, mensajes enviados, especialización y aquellos puntos definidos en anteriores etapas de nuestro ejemplo.

Esta visualización debería exponer una nueva perspectiva de todo el entramado de relaciones, especializaciones, comunicaciones y cualquier otro parámetro que hayamos definido previamente.

Puestos a pedir, y como conclusión, algunas ideas sobre cómo podría ser la versión “extended” de nuestro sistema ficticio (con cierto aire Big Brother), podría contemplar el cruce de datos y relaciones entre otros foros, análisis de otros canales de comunicación, la generación del mapas de relaciones en tiempo real, aspectos económicos del mercado (precios de venta, tipos de bienes), etc.

Daniel L. Creus
S21sec e-crime

Proyecto Imagination

Imagination es un proyecto de investigación formado por 8 entidades (el instituto Fraunhofer, la Universidad técnica de Atenas, etc.), que dio comienzo en Mayo de 2006 y dedicado al procesado de imágenes para la extracción de información relevante.

El objetivo del proyecto es facilitar la clasificación y etiquetado de los ficheros de imagen, de forma que las búsquedas sobre este tipo de ficheros puedan ser tan eficaces como lo son sobre los ficheros de texto.

Pongamos como ejemplo que queremos encontrar en nuestra biblioteca de imágenes todas las fotos en las que aparece una determinada persona. Las soluciones a este problema pasarían por adquirir la costumbre de etiquetar todas las fotos con los nombres de las personas que figuran en ellas o lo más probable, que ya sea tarde para esto y no haya más remedio que perder un buen rato en efectuar una búsqueda manual. El problema aún parece mayor si pensamos en colecciones más grandes y búsquedas más exigentes, como las que pueden tener lugar sobre el archivo de un museo o el de un estudio de fotografía.

La solución que proponen desde Imagination es el reconocimiento automático de objetos o incluso personas dentro de bibliotecas de fotografías, de forma que se puedan etiquetar de manera automática y efectuar las correspondientes búsquedas sobre los metadatos de los archivos una vez procesados.

Básicamente, Imagination es capaz de extraer fragmentos de texto (por ejemplo, el título de una gráfica) y reconocer objetos y caras. En el caso del reconocimiento facial, obviamente es necesario someter al sistema a un proceso de aprendizaje previo a la clasificación de una biblioteca (entre 5 y 10 imágenes de la persona en cuestión). Según Gabor Nagypal, coordinador científico y técnico de Imagination, la operación más simple de detectar si existen personas o no en una fotografía se completa con éxito en el 80% de los casos.

Según la propia web del proyecto, existe una demo pública desde el 14 de Septiembre (aunque no hemos podido encontrar la descarga). También existe una guía de usuario que explica ya de manera concreta el funcionamiento del programa.

Varias entidades ya están probando el sistema, como las agencias de fotografías Photo12 y Pitopia y la Biblioteca Italiana de Historia Moderna y Contemporánea.

Al margen de las aplicaciones ya comentadas, surgen otras ligadas a las redes sociales que pueden resultar interesantes. Por ejemplo, se podría pensar en la integración de este sistema con cualquier red social que permita almacenar fotografías. Tras ejecutar el proceso de aprendizaje con las imágenes de nuestros contactos se podría conseguir que al insertar fotografías nuevas el propio sistema las etiquete con las identidades de las personas “conocidas” que aparecen. De la misma forma, también se podrían localizar las fotos al reconocer lugares, que podrían ser más o menos genéricos (playa, montaña, ciudad) o incluso concretos (por ejemplo, la torre Eiffel).

¿Y si cruzamos estos datos con otros metadatos de las fotografías más comunes como la fecha de captura? Las posibilidades son muchas, pero las más evidentes podrían ser establecer relaciones entre personas (quién aparece con quién, cuántas veces y en qué lugares), localización de personas en instantes concretos, etc.

En S21sec también trabajamos en este campo y pensamos que este tipo de herramientas pueden servir para proteger la imágen de marca de empresas y personal de las mismas, ayudando a detectar e identificar la presencia de determinados recursos asociados a la compañía en la red.

Más información:

http://www.laflecha.net/canales/ciencia/noticias/las-claves-del-proyecto-imagination

http://www.imagenotion.com

http://www.imagination-project.org

http://www.imagination-project.org/upload/D15_UserGuideImageNotion.pdf

Alberto Yoldi

S21Sec e-crime

Seguridad Wi-Fi de brocha gorda.

A la gente no le gustan los cables. Puede que a algunos de los lectores de este blog sí. Pero reconozcámoslo, la mayoría de la población convive con ellos albergando sensaciones que oscilan entre la tolerancia y el asco, cuando no el miedo. Hay incluso quien deiende que son criaturas alienígenas que han venido como infiltradas a la tierra y que, cuando llegue el momento, cobrarán vida al unísono y nos exterminarán a todos. (¡Juro que conozco a una persona que dice cosas como esta!)



Por eso abrazamos las tecnologías inalámbricas. Nos gusta no tropezarnos con los cables, no tener que andar escondiéndolos detrás del mueble del teléfono como la foto de la primera comunión.

Pero por otra parte, las ondas, con esa manía suya de propagarse, son muy poco discretas. Hizo falta desarrollar protocolos de seguridad específicos para ellas.

Pero claro, primero vimos cómo el protocolo WEP perdía nuestra confianza, cómo comenzaban a abundar los programas encargados de realizar "auditorías de seguridad" de redes Wi-Fi (preferentemente, de las redes de los vecinos cuyo SSID es WLAN_28, por ejemplo), y no nos quedó más remedio que encomendarnos al WPA.

Nos seguimos fiando de WPA, que parece que sigue siendo seguro, aunque hace ya tiempo que comenzaron a abrirse fisuras (concretamente en WPA+TKIP). Y ya tenemos disponible el WPA2. No está mal. Probablemente es más que suficiente por el momento y no quisiera resultar alarmista, pero... ¿hasta cuando lo será? Siempre queda espacio para la paranoia.

En cualquier caso, ya hay quien está pensando en ofrecer una solución mucho más analógica y, hasta cierto punto, ingeniosa.

Supongo que empezaron por preguntarse, ¿y si usáramos nuestras redes Wi-Fi dentro de una especie de jaula de Faraday? Ahí, bien confinaditas, para que el hijo de la vecina le audite las redes a su abuela.

Es una solución, desde luego. Pero claro, resultaría difícil convencer a quien sea que conviva con uno, de que se está mucho mejor dentro de una jaula metálica. Se podría, incluso, defender la eficiencia energética en cuanto a calefacción y el aire acondicionado. Pero lo más probable, es que te llenaran la despensa de alpiste mientras siguieras en tu empeño.

Sin embargo resulta que van unos investigadores de la Universidad de Tokyo, que están en todo, y desarrollan un producto original: pintura anti-Wi-Fi.

Una pintura que contiene óxido de aluminio-hierro y que resuena a las frecuencias de emisión Wi-Fi, absorbiendo las ondas, e impidiendo que se propaguen más allá de las paredes. La solución es relativamente barata, aunque requiera un cierto trabajo en la aplicación.

Además de esa, tiene otras posibiliades. Evitar, por ejemplo, que llegue cobertura telefónica dentro de recintos (como cines, teatros ...¿o coches bomba?), e incluso están hablando de aplicarla en ropa para evitar los no-demostrados pero tampoco-descartables-todavía efectos de las ondas electromagnéticas en nuestro cuerpo.

Sin duda se pueden hacer críticas a esta idea. Pero la que más me hace pensar es, ¿habrá algún color que vaya con mis muebles?

Luis Tarrafeta
S21sec labs

Desincronización de flujos

La gran mayoría de los packers actuales hacen uso de todo un arsenal de técnicas de ofuscación que van desde las más complejas, capaces de ocultar por completo la estructura de un programa mediante el uso de una VM, hasta las más sencillas, destinadas a dificultar el análisis estático del código.

El grupo de las "sencillas" intenta aprovechar la forma en que están diseñados los desensambladores y como estos realizan el proceso de análisis de código, con el objetivo de generar la mayor confusión posible y que el resultado requiera un tratamiento previo, a menudo tedioso. Afectan tanto a los más simples, "linear sweep disassemblers", como a los más avanzados, "recursive traversal disassemblers". Destacan, quizás por su facilidad de programación y por estar presentes en la casi totalidad de libros de reversing, las denominadas "predicados opacos" y "solapamiento de instrucciones".

Comúnmente el solapamiento de instrucciones consiste en, como su propio nombre indica, la codificación de una o más instrucciones como parte de una o más instrucciones, de modo que todas tienen un offset de inicio distinto y entre ellas comparten algunos o todos los bytes. Así pues, su decodificación genera secuencias de instrucciones distintas en función del offset de inicio seleccionado. Esto es posible en la arquitectura x86 gracias a que las instrucciones no requieren alineación y tienen un tamaño variable.

Aunque a priori pueda parecer algo complicado, es bastante fácil y con un mínimo conocimiento de ensamblador se puede ver rápidamente. En esta presentación de Nick Harbour sobre un packer experimental se pueden encontrar algunos ejemplos gráficos.

Últimamente he tenido que lidiar con esta técnica debido a un problema surgido en un proyecto personal al que suelo dedicar parte de mi tiempo libre. En un punto especifico del desarrollo comprendí que no había tenido en cuenta, no como debería, el solapamiento de instrucciones y como consecuencia, tuve que rediseñar una parte que, en principio, daba por terminada. Podría haberme ahorrado esto si me lo hubiera planteado desde otra perspectiva.

Si consideramos lo que es obvio y es que esta técnica representa una alteración del flujo de ejecución y lo presentamos desde esta perspectiva, tendremos una visión mucho más divertida pero también más compleja.

Cuando usamos un desensamblador, uno profesional como puede ser IDA, el proceso de análisis debe comenzar en un punto de entrada especificado. A medida que se van decodificando instrucciones a partir de dicho punto, se va generando un CFG en el que se reflejan todas las transferencias de control detectadas hasta el momento. Al mismo tiempo, el desensamblador, implícitamente, nos está dibujando un "mapa de labels" en el que están presentes todos aquellos offsets donde comienza una instrucción válida, decodificada y analizada, y a la que se puede transferir el control del flujo.

Siempre que las instrucciones de transferencia de control hagan referencia a estos labels, se puede decir que el flujo principal de ejecución se encuentra sincronizado con el mapa de labels que le corresponde. Por el contrario, si en algún momento surge, se decodifica, una instrucción de transferencia de control que no respeta dicho mapa y transfiere el control de ejecución a sí misma o a otra instrucción en cualquier byte distinto del inicial, se puede decir que se ha producido una "ruptura de instrucción existente" y en consecuencia se ha producido una inmediata desincronización del flujo principal. Así pues, la decodificación continuará en el punto de ruptura y obtendrá una instrucción nueva dentro de otra ya analizada, y distinta, generando una versión alternativa del flujo y un nuevo mapa de labels.

Este "nuevo" flujo alternativo creado puede prolongarse hasta el final del desensamblado o simplemente durar unas cuantas instrucciones. Si en algún punto de la nueva decodificación se coincide con un offset del mapa de labels anterior, se produce una resincronización con el flujo principal y el flujo alternativo se da por terminado. Además, es posible que un flujo alternativo pueda contener a su vez uno o varios puntos de desincronización dando lugar a una maraña de flujos anidados.

La gran ventaja, desde mi punto de vista, de esta técnica es que resulta más fácil generar flujos alternativos, construir y ensamblar, que desensamblarlos y mostrarlos correctamente, por lo que sería posible llevarla al extremo y plagar un programa con puntos de desincronización y resincronización y convertirlo en una auténtica pesadilla. Por el contrario, su gran desventaja radica en la dificultad de prolongar la duración de los flujos alternativos, esto es, en la dificultad de crear diferentes secuencias de código solapadas y válidas.

En definitiva, toda técnica es más compleja de lo que pueda parecer y no se puede descartar ni la más mínima perversión.


Rubén Jiménez
S21sec e-crime

Medir la repercusion de páginas Web

La medida de la repercusión de las páginas web consiste en cuantificar el efecto o influencia que dicha pagina puede ejercer sobre el publico objetivo al que van dirigidos los contenidos expuestos en ella. Cuando una noticia (comentarios, video, audio, etc.) es publicada en la web acerca de un individuo o empresa, surgirán preguntas como ¿Cuánta gente lo habrá leído? ¿Quiénes lo habrán leído? etc. Dependiendo de la naturaleza de la noticia, positiva o negativa, se desea una respuesta u otra, pero en ambos casos el poder disponer de una estimación lo suficientemente precisa es fundamental.

Existen algunos indicadores muy utilizados para medir la repercusión.

PageRank de Google

A cada página web se le asigna un número en función del número de enlaces de otras páginas que la apuntan, el valor de esas páginas y otros criterios no públicos.

El algoritmo del que parte el prototipo de Google.

• PR(A) es el PageRank de la página A.
• d es un factor de amortiguación que tiene un valor entre 0 y 1.
• PR(i) son los valores de PageRank que tienen cada una de las las páginas i que enlazan a A.
• C(i) es el número total de enlaces salientes de la página i (sean o no hacia A).

Según este indicador, cuanto mayor es el valor del PageRank para la página mayor es su repercusión.


Alexa Rank

Calcula su indicador con respecto a una página web en base a la información recolectada de los usuarios que tienen instalado Alexa Toolbar en su navegador. Existe una cierta controversia sobre el grado de representatividad que tiene esta base de usuarios sobre el comportamiento típico de los usuarios en Internet.

Utilizando este indicador, la repercusión crece al disminuir su valor

Generalizando, existen muchos factores que se emplean en el cálculo de la repercusión, pudiéndose jugar también con el peso que se les da dentro de la fórmula de cálculo. Algunos de los más habituales son:

Enlaces de entrada: Factor principal utilizado por Google. Se suele tener en cuenta la repercusión de la página que alberga el enlace, y también es una práctica habitual descartar los sitios prohibidos (Banned Sites).

Enlaces a y desde sitios relacionados: Los vínculos a y desde sitios relacionados muestran que la información es útil para nuestros visitantes. Cuanto más estrechamente relacionadas estén las paginas vinculadas mayor es la repercusión derivada de estos enlaces.

Repercusión de las páginas que nos enlazan: Evidentemente si somos enlazados desde páginas de gran importancia, parte de esta repercusión será heredada por nuestra página.

Tiempo de permanencia: Tiempo medio que los usuarios permanecen visitando una página. Este factor antepone la calidad de las visitas a la calidad. Una estimación de este tiempo se puede obtener por ejemplo con Google Ad Planner

Experiencia de usuario: Conceptos como estructura del sitio, aspecto visual, manejabilidad, número de errores 404 dentro del sitio, etc. tienen su hueco influyendo directamente en el punto anterior.

Antigüedad de la pagina: Paginas con mas “solera” tendrán mayor repercusión. Como contrapunto, la pagina es más relevante cuanto más actuales sean sus contenidos.

Idioma: Casi nunca se tiene en cuenta. En mi opinión un factor importante, y llevado a un ejemplo extremo no tiene la misma repercusión una página en Inglés, Castellano o Mandarín que una página en Ter Sami con solo dos personas que lo hablan (http://en.wikipedia.org/wiki/List_of_languages_by_number_of_native_speakers)

Repercusión en redes sociales: Últimamente las redes sociales están más de moda que nunca. La alta participación de los usuarios y la interactividad de los mismos, así como el efecto e influencia que puede ejercer entre sus relaciones son algunas de sus características propias. Conforme crece su aceptación mayor es el interés de conocer y cuantificar nuevos conceptos como la reputación o la popularidad de las marcas dentro de estos entornos. Hasta hace poco se estaba en una fase temprana para llevarlo a cabo, ya sea por falta de estándares o porque la información proporcionada era escasa para ello. A día de hoy ya se consiguen desarrollar herramientas que, utilizando las APIs disponibles, nos ofrecen información de mucha utilidad para completar la medida de la repercusión en estos medios. Con esta información se puede llegar a discernir entre connotación positiva y negativa en los contenidos.


Raúl Martínez
S21Sec e-crime

Capturas de red remotas para laboratorios de tráfico

Cuando empezamos a introducirnos en el mundo SCADA, recuerdo una frase que se repetía constantemente: "necesito una captura de tráfico real". Defecto o virtud, cuando se es muy visual uno necesita hacerse a la idea de lo que está tratando, de ahí la necesidad de ‘ver’ lo que estaba pasando por una red de estas características. El hecho de que la frase se repitiera tantas veces, viene dado a la dificultad para obtener una captura ‘útil’. Ahora que tenemos el laboratorio en marcha nosotros estamos en la misma situación en la que les poníamos a aquellos a quienes pedimos alguna vez una captura de tráfico, y por eso hemos tratado de evitar la misma situación con la que nos encontramos.

Segmentación de la red

Evidentemente, el software de captura no es problema, a día de hoy existen varias alternativas, todas igual de válidas. La complejidad de obtener una captura útil viene dada principalmente por la segmentación de la red. La operativa de una red SCADA hace el resto, ya que una captura ‘útil’ debe llevar todo el tráfico de una “operación” en la que intervienen varios equipos de la infraestructura, mediante varios hilos de comunicación realmente activos. Todo esto pasa en varias VLANs al mismo tiempo, separadas por uno o hasta dos firewalls.
En nuestro caso, cada equipo del laboratorio cumple una función específica en lugar de aglutinar varias funcionalidades, lo que nos permite visualizar la comunicación entre todos los componentes, una ventaja para el análisis y casi un problema en ocasiones como esta, en la que queremos disponer de todo el tráfico transmitido. Necesitamos registrar en cada VLAN, y luego hacer un merge de los archivos de captura.

Interfaz de captura remota

Esta es una de esas joyas que pasan desapercibidas y que un día sin querer, descubres. Lo más curioso para mí es que no existe en libpcap, pero si en su versión Windows (Winpcap). Se trata del archivo rpcapd(.exe) que permite conectar Wireshark/Ethereal/Otros a interfaces de captura de un equipo remoto. Dicho de otro modo, desde mi ordenador en mi mesa de la oficina, puedo capturar tráfico del CPD, sin tener que conectarme para ejecutar el software de captura, o sin tener que enviarme el archivo de captura una vez finalizada.
Una vez que hemos preparado un entorno de captura adecuado, obtener volcados en tiempo real es mucho más sencillo y dinámico, ya que consiste en arrancar el programa y capturar, sin necesidad de conexiones adicionales ni envíos de archivos.

Fig.1 – Wireshark capturando tráfico utilizando un interfaz de captura remota: rpcap://

Pros y contras de un interfaz de captura remota

Obviando el hecho de se trata de un nuevo servicio, que puede incorporar nuevas amenazas en la infraestructura, me voy a centrar en los pros y contras operativos de disponer de un interfaz de captura remota.

Pros
En primer lugar, adiós temp1.cap, ya no nos olvidaremos archivos de capturas temporales en un equipo de la red, ya que no capturaremos en ningún equipo que no sea el nuestro. Actualmente disponemos de una captura de todo el tráfico de forma automática para análisis y posibles consultas de eventos pasados, pero en caso de que queramos obtener una captura específica, podemos hacerlo mucho más fácil sin necesidad de acceder al repositorio de capturas, desde nuestro propio equipo.
Adiós al idle de cuentas root, o al tráfico SSH innecesario. Ahora que ya no necesitamos conectarnos al equipo de captura para ejecutar el programa, ya no quedaran conexiones abiertas en los equipos del laboratorio.
Otro de los problemas que hemos debido solventar es la inestabilidad presentada en el interfaz de captura cuando varios programas intentan modificar el estado del driver. Ahora solo existe un programa de captura local, que gestiona todo lo necesario para que el interfaz esté en modo promiscuo siempre que es necesario. Ahora ya no es posible detener sin querer el programa de captura que no era, porque no habrá ninguno.
Rpcapd ofrece suficientes controles de acceso para impedir el abuso del servicio. Uno de los controles ofrecidos en la posibilidad de limitar el acceso a una lista blanca de ‘equipos’, y la otra es la solicitud de credenciales de acceso, que deben corresponden con un usuario y contraseña válidos.

Fig.2 – opciones de configuración de wireshark para utilizar un interfaz de captura remota.

Contras

Bueno, contras como tal solo hay uno: conseguir hacer funcionar el programa en Linux, con libpcap. A pesar de que ‘supuestamente’ el programa debería funcionar per-sé, tal y como está no lo hace (comprobado), y es necesario realizar alguna modificación en varios archivos para conseguir un grado de estabilidad aceptable. Una de las primeras diferencias que aparecen es el interfaz loopback, que en Windows no existe, y el propio programa no sabe cómo gestionar cuando se ejecuta en un entorno Linux.
Otra consideración importante es la replicación del tráfico (ahora el tráfico se enviará desde el equipo de captura hasta nuestro sniffer), pero en realidad es un falso contra, ya que si quisiéramos obtener una captura al viejo estilo, acabaríamos enviándonos el archivo de captura, es decir, exactamente lo mismo pero en modo offline.

Conclusión

La inclusión de este interfaz de captura en el laboratorio SCADA viene dada por la necesidad de acceder en tiempo real al tráfico existente por parte de varios investigadores a la vez. Pero no es el único caso aplicable. Existen otros grupos de interés que se encuentran en la misma situación, por ejemplo, el laboratorio de análisis de tráfico que realiza investigaciones sobre malware, o el propio equipo de malware que dispone de redes en las que los bichos operan libremente. Utilizando un interfaz de captura remota ya no nos molestaremos los unos a los otros.

Ekoparty 2009

Esto... Ekoparty. Esta re-buena!

Acabo de llegar de Argentina de asistir a la Ekoparty como conferenciante. He de decir que a lo largo de los años he estado en varios congresos de este tipo, tanto como simple asistente como con la tarea de exponer algún tema que interese, entretenga, sea innovador y didáctico.

Con esa experiencia, he de decir que mi experiencia en la Ekoparty ha sido increíblemente buena. La organización, fue sobresaliente, atentos a los expositores en todo momento, desde recogernos con un servicio de coches en el aeropuerto, alquilar un móvil del país para cada uno y así mantenernos localizados y nosotros a la organización, reserva de hotel en un 'sitio estratégico', etc...

Comodidades aparte, esta atención fomenta la calidad de la gente que va a exponer. Si a esto añadimos que aceptaban exposiciones tanto en inglés como en castellano, la Ekoparty de este año estuvo llena de conferencias internacionales con gente de Estados Unidos, Francia, España y la propia Argentina, en este tema eché un poco de menos ver a expositores de otros países de Centroamérica o Sudamérica, como Brasil o México, ¿No hay investigadores por allí?

A destacar, Deviant Ollam hizo una exposición de lockpicking brutalmente genial, arriesgándose incluso a hacer una demostración poniéndose unas esposas y a quitárselas, Chema Alonso presentó una nueva vulnerabilidad que puede traer cola 'Connection String Attacks' simplemente sencilla, Philippe Langlois presento las redes SS7 (telefonía) y las vulnerabilidades del protocolo usadas en las mismas, en estos tres casos, se demostró que una buena conferencia es algo más que exponer algo nuevo e interesante, estas tres personas tienen un don natural.

Otras cosas que me parecieron muy interesantes son la calidad técnica (y personal) de la gente de Argentina, mucho más punteros de lo que pensaba, escucharlos motiva investigar más. Alfredo Ortega y Anibal Sacco nos mostraron el CompuTRACE, un extraño bichito que encontraron en las BIOS, Nicolás Economou presento una técnica avanzada para la comparación de ejecutables, muy útil a la hora de hacer exploits. Muy recomendable en general, que cuando publiquen todas las exposiciones os las leáis.

Además de las conferencias, la Ekoparty tuvo varias competiciones Capture the Flag, stands de los sponsors, un lockpicking village que tuvo bastante éxito y unos trainings que a pesar de que no asistí, si vi el despliegue y tenían una pinta estupenda. Aparte de la parte técnica también tenían organizado un gran ambiente, café y croissants para todos, uno de los sponsors invitó a cervezas en el bar justo enfrente del hotel 'en el lugar estratégico', se alquiló un autobús para recorrer Buenos Aires haciendo wardriving (¿warturism?) esta fue una de las ideas que más me gustó. Además de cena para los conferenciantes y otras actividades, el último día a la noche se le invitó a todo el mundo a una discoteca de moda en Buenos Aires, buena música y gente.

Respecto a los asistentes conocí a muchos de los mismos con algunos de los cuales hice gran amistad, argentinos sobre todo, pero también hubo españoles y brasileños (ya que si estaba gran parte de Sudamérica representada como asistente, como USA, Alemania, etc...) con los cuales estuvimos mucho tiempo discutiendo el significado de algunas palabras 'españolas'.

El año que viene tengo intención de repetir, ya sea dando una conferencia o como asistente y os aconsejo a todos hacerlo, las Vegas como ciudad tiene mucho atractivo, pero como congreso os recomendaría gastar menos dinero en la entrada y en la ciudad (Argentina es muy barata), tendréis unas conferencias como las de la BlackHat o DefCon, un ambiente como el del CCC y un idioma como el nuestro, bueno algún inglés tendréis que hablar.

¡Saludos a todos!