Facebook mide tu popularidad: F-brity en Facebook

¿Tu red de amigos no para de crecer? ¿Eres activo y modificas tu status en facebook? ¿Te das a conocer a la gente? ¿Compartes tus fotos? ¿Creas grupos? ¿Te unes a ellos?

La respuesta nos la da Facebrity, la primera aplicación en español lanzada por la productora interactivo SrBurns, que mide la popularidad e influencia tanto de las marcas como de las personas en la red social.



Las marcas pueden medir su nivel de popularidad y la admiración que le profesan sus clientes y potenciales en base a la generación de conversaciones y comentarios que están suscitando. Tienen en sus manos, por tanto, la herramienta idónea para tomar el pulso real de su presencia, popularidad, grado de aceptación entre los clientes y actividad en la red social.

Para poner en marcha la aplicación, la empresa ha contado con la ayuda de los psicólogos de la Universidad Javierana de Bogotá, la Universidade do Porto, la Universidad de Nueva York y la Universidad Católica Andrés Bello en Venezuela.


Según afirman, la información de tu perfil (networking, status, grupos de amigos…) se somete a una observación cuantitativa y cualitativa analizada en base a variables inequívocas derivadas de estudios sociales reales.

Tan fácil como loguearnos y permitir a la aplicación calcular unas métricas en base a la información de nuestro perfil: comentarios, fotos, muros, grupos a los que pertenecemos, etc…

Este nuevo complemento se puede compartir fácilmente entre los contactos y permite la inserción de un cuadro en el perfil que muestra el porcentaje de popularidad en ese momento y el cual se va modificando según varía la actividad y el comportamiento en la red social.

Ya comentaba algo nuestro compañero Aitor en Las redes sociales: voyeurismo digital

Esta aplicación dice el tanto por ciento de popular que eres, llegando a producir ansiedad y enganche a la red social para poder acabar en 1ª posición de este peculiar ranking.

Si bien es cierto que podría llegar a ser un indicador de nuestra popularidad, y nos aseguran que una vez lo anclemos en nuestro perfil la aplicación se actualiza automáticamente, la realidad es que la popularidad de la marca en un único medio, en este caso Facebook, no es representativo si no se en tiene en cuenta el resto de medios sociales (Twitter, Tuenti, etc.), blogs, foros y medios tradicionales (prensa, radio y televisión).

Esta aplicación carece de la posibilidad de realizar un análisis comparativo respecto al resto de marcas del sector, por lo que si bien es una herramienta útil, únicamente provee información puntual en un Internet cada día más globalizado.


Paula Remirez Ruiz
Vigilancia Digital

CNPIC

El Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) es un organismo creado por la administración española tras la puesta en marcha del Plan Nacional de Protección de Infraestructuras (PPI), que a su vez viene precedido por la aprobación del Plan Europeo de Protección de Infraestructuras Críticas (PEPIC) por el Consejo Europeo en el año 2004. Las infraestructura críticas están expuestas a una gran cantidad de amenazas (cada vez más), por lo que es imprescindible trazar un plan de medidas en el plano de la seguridad física, así como en el plano de la seguridad de las tecnologías y comunicaciones.

El CNPIC es el órgano que dirige y coordina todas las actividades relacionadas con la protección de las infraestructuras críticas del país. La seguridad de infraestructuras críticas en España se centra sobre todo en ataques terroristas o en agresiones deliberadas, sin embargo la seguridad de infraestructuras críticas debe tener en cuenta un mayor número de acciones que van más allá de la protección física de posibles ataques. Por ello el gobierno está preparando un real decreto para la protección de dichas infraestructuras (redes eléctricas, de transporte, centrales nucleares o sistemas de abastecimiento de aguas…). Para ello es necesario la implicación y cooperación tanto de las administraciones del estado, así como de del resto del sector privado, es decir, de todos los involucrados en la regulación, planificación y operación de las diferentes infraestructuras que proporcionan servicios a la sociedad. La mayoría de los sistemas de los que estamos hablando están en manos de empresas privadas y esto supone un problema ya que el secreto con el que la empresas tratan este tipo de asuntos puede llegar a impedir conocer la gravedad de un incidente. Mediante este decreto se trazará una directiva comunitaria sobre la ciberseguridad y se obligará a las compañías a comunicar los incidentes. El gobierno, a cambio, garantizará la confidencialidad de la información con el objetivo de preservar tanto la información como la reputación de las empresas implicadas. Esto quiere decir, que los incidentes en infraestructuras críticas serán tratados como incidentes de seguridad nacional.
Todos estos temas se trataron la semana pasada en la inauguración del 1er Encuentro Internacional de Protección de Infraestructuras Críticas celebrado en Madrid, del que S21sec es patrocinador.

Las tareas más importantes del CNPIC son las siguientes:

•Valoración de las amenazas y análisis de riesgos.
•Diseño de mecanismos de comunicación, información y alerta.
•Mantenimiento y actualización del Plan de Seguridad de Infraestructuras Críticas.
•Coordinación de los distintos grupos de trabajo.
•Crear Protocolos de Colaboración con personal de empresas propietarias de infraestructuras críticas.
•Supervisión en la elaboración de planes, proyectos, estudios y eventos en materia de infraestructuras críticas.

En conclusión, el CNPIC es un organismo recientemente creado que tiene un largo camino a recorrer ya que la seguridad de las infraestructuras críticas es un tema que cada vez recobra mayor importancia debido a las posibles consecuencias que puede tener un ataque de este tipo.

Fuentes:
http://www.publico.es/ciencias/295775/gobierno/prepara/norma/proteger/infraestructuras/ciberataques
http://www.cnpic-es.es/cnpic/

Iker Berriozabal
S21sec labs

Rootkits para smart-phones

Los peligros del malware en los smart-phones es un tema del que ya advertíamos hace tiempo en este blog, desde los comienzos de este malware a como iba evolucionando o como los dispositivos móviles tipo blackberry pueden ser punto de intrusión en las redes corporativas.

En este post queremos volver a tratar el peligro del malware en los smart-phones ya que este es una realidad actual. Los smart-phones cada vez son más populares y las ventas de estos dispositivos crecen mes a mes. Por otro lado, cuentan con hardware que en algunas ocasiones es superior al de algunos equipos domésticos (Nexus One cuenta con un procesador a 1GHz y 512 MB de memoria RAM) y están dotados con sistemas operativos que, en complejidad, podrían ser comparables a los de un equipo de sobremesa.

Esta complejidad de los sistemas operativos de los smart-phones, junto con la disponibilidad de gran cantidad de aplicaciones incluyendo navegadores web de propósito general, acceso a internet a través de redes wifi y 3G, etc. hace que la vulnerabilidad de los dispositivos también aumente.

En un artículo presentado ayer en el workshop HotMobile se exponía una serie de pruebas de concepto de infección con rootkits a un dispositivo móvil de forma que no eran detectables por software antivirus. En estas pruebas se conseguía controlar el teléfono para capturar conversaciones a través del micrófono del móvil, interceptar llamadas hechas a determinados números de teléfono, transmitir las coordenadas GPS de la posición del usuario o agotar rápidamente la batería. También se demostraba como el control de las acciones maliciosas se podía hacer mediante eventos de la agenda (como por ejemplo grabar una conversación de una reunión) o recibiendo órdenes desde otro dispositivo mediante mensajes sms que quedan ocultos al usuario final. La prueba de concepto fue realizada sobre el sistema operativo Openmoko, pero en principio puede ser adaptado a otros sistemas operativos.

Por otra parte, el dispositivo era infectado directamente instalando los rootkits correspondientes, pero, dado que la descarga de aplicaciones para dispositivos móviles (sobre todo juegos) es un mercado en auge la infección de smart-phones mediante aplicaciones troyanizadas es un hecho más que factible.

Guzmán Santafé
S21sec labs

TDL3 Anti-Hook detection

Una de las familias de rootkits que siempre ha dado que hablar es TDL o TDSS. Este tipo de rootkit siempre ha destacado por su técnica de ocultación en disco. Podemos ver su evolución en un post que escribió DiabloNova.

Su última versión que salió a finales del año pasado fue TDL3. El análisis TDL3: Part I Why so serious? Let’s put a smile …” muestra detalladamente el comportamiento y características de este rootkit.

Una de las cosas que me ha llamado la atención es lo que en el análisis anterior llama "Anti-Hook detection". Es decir, donde y como TDL3 pone los hooks para que éstos no sean detectados por las herramientas antirookit. El TDL3 utiliza estos hooks para permanecer oculto en el disco como otros rootkits, como por ejemplo el mebroot :

• http://blog.s21sec.com/2009/08/mebroot-parte-i-apertura.html

• http://blog.s21sec.com/2009/09/mebroot-parte-ii-scsi-vs-object.html

TDL3 concretamente utiliza las dispatch routines de atapi.sys para poner sus hooks. Una herramienta antirookit que detecta los hooks en las dispatch routines de los drivers es rootkit unhooker aka rkuk. Examinamos una máquina infectada por TDL3 con rkuk y vemos como TDL3 hace correctamente su labor de ocultar el hook:


¿Cuál es el motivo por el cual TDL3 no es detectado por las herramientas antirookit? Examinamos el hook en la dispatch routine para conocer la respuesta:

Vemos como el hook salta a una zona de memoria del propio driver atapi.sys por lo que rkuk determina como correcto este salto y no detecta el hook. Es decir, lo que busca TDL3 es que la dirección de memoria de la dispatch routine esté dentro de atapi.sys y luego saltar a su módulo:

donde el handle en atapi.sys es:

Este código es insertado por TDL3 en una zona de atapi.sys no utilizada( padding ):


La técnica de poner uno o varios saltos en el módulo a hookear( con el fin de hacer ver a las herramientas antirookit que no es un hook ) es bastante común, y las herramientas antirookit incorporan su detección para seguir hooks en apis en ring3 o ring0 pero no ha sido empleado para seguir hooks en las dispatch routine.

Vemos que hubiera pasado si no hubiera utilizado esta técnica y hubiera puesto el hook directamente en la dispatch routine, como indica el siguiente escenario:

Si modificamos el hook de la dispatch routine( con modificar una MJ_FUNCTION es suficiente ) de atapi.sys para que salte directamente a su código:

y si volvemos a escanear con rkuk vemos como es capaz de detectar perfectamente el hook en la disptach routine:


Alonso Candado Sánchez
S21Sec e-crime

Vigilancia Digital aplicada al Spear Phishing

Desde hace algunos años, los phishers suplantaban la identidad de los bancos y subastas online para el envío masivo de e-mails con el objetivo de obtener credenciales y utilizarlas para un uso fraudulento.

Este envío masivo ha tenido gran efectividad por los siguientes motivos:

1. Ha sido una reciente forma de fraude desconocida por el público general
2. Falta de cultura en seguridad de la información
3. Los sistemas no siempre están protegidos por mecanismos antiphising
4. Aunque el éxito tuviese un porcentaje bajo, si el envío se realizaba a multitud de personas, el número de víctimas sería también elevado

Actualmente, tras la aparición de software de detección de phishing y la mayor concienciación acerca de la seguridad de la información, los phisher se ven obligados a agudizar el ingenio dirigiendo los ataques contra objetivos específicos.

Los phishers aprovechan tanto las vulnerabilidades técnicas como sociales, estudiando los hábitos y costumbres de sus víctimas, para atacar selectivamente mediante la suplantación de la identidad de entidades en las cuales la víctima más confíe. Este tipo de ataques es conocido como spear phishing.

La aplicación de la Vigilancia Digital al spear phishing nos permite prevenir, detectar y actuar ante posibles ataques dirigidos.

Prevención

1. Mantenerse informado de los nuevos casos de spear phishing que acontecen
2. Mantenerse informado de actualizaciones de seguridad en antivirus, gestores de correo y navegadores

¿Cómo? monitorizando contenidos de sitios web y blogs especializados en seguridad informática, estructurando la información contenida en la misma y enviando periódicamente boletines sobre las últimas novedades en casos de phishing y actualizaciones de seguridad

Detección

1. Buscar e identificar información personal publicada (DNI, Escuelas de formación, Empresas en las que colaboró, actividades de ocio a las que está suscrito, etc.)
2. Detectar la aparición del nombre de la persona objetivo en el contexto de palabras clave sobre credenciales (por ejemplo en un email “John Smith” cerca del término “Bank account”)

¿Cómo?, buscando en redes sociales, foros y blogs con el objetivo de encontrar y analizar el contenido de páginas que hagan referencia a las potenciales víctimas del spear phising, extrayendo sus datos personales como dni, e-mail, números de teléfono, contactos, datos de familiares, participaciones en eventos, etc, emitiendo alertas de seguridad a centros especialiados.

Actuación

1. Retirar información pública sensible
2. Cambiar credenciales si se sospecha del posible robo de las mismas

¿Cómo?, gestionando las alertas detectadas, evaluando el riesgo que conllevan y contactando si fuera necesario con los ISPs que alojan contenido público no deseado para la retirada de las mismas. Contactando directamente con el afectado informado de la fuga de información personal confidencial y recomendando el cambio de las credenciales.

La Vigilancia Digital comienza a abrir novedosas vías de aplicación en areas como el fraude electrónico y el headhunting donde hasta el momento, se ignoraba la tremenda influencia de los medios alternativos como los foros, blogs y redes sociales.

Israel Varea
S21sec e-crime

Nuevas tendencias...

Al igual que en el mundo de la moda, en temas informáticos y en particular en la seguridad, parece que seguimos la misma dinámica, se siguen modas. De igual forma que hay temporadas en las que las noticias sobre juegos con satélites se multiplican, posiblemente impulsadas recientemente por nuestro compañero Leonardo Nve, o aparecen constantemente en los blogs y noticiarios referencias a aplicaciones web o a ciertas vulnerabilidades explotables, o al acoso recibido por ciertas empresas, véase el historial reciente de de Adobe.

La moda genera tendencias y por lo que se está viendo a principios de año, las tendencias para el 02010 parece que se centran sobre todo en dispositivos móviles y navegadores.

Realmente no es nada nuevo, tras la aparición del iPhone y todos sus compañeros de escena, y su variedad de sistemas operativos Android, Symbian, o con el recientemente publicado Windows 7 Series entre otros, se ha aumentado notablemente el parque móvil y de forma paralela se aumenta la opción de sacar tajada de ello.

El problema es que actualmente existe mucha gente con conexión a internet a través de su dispositivo móvil y con escasos conocimientos técnicos o escasa concienciación en temas de seguridad.

Como dato importante de cara a asentar la tendencia, está por ejemplo el hecho de que se organice un concurso pagado para la búsqueda de vulnerabilidades en los dispositivos, esto ayuda a comprender lo importante que resulta el garantizar que estos equipos funcionen correctamente y libres estén de bugs.

Otra de las cosas que puede ayudar a generar la imagen global, es el trabajo que se está realizando sobre por ejemplo, el “supuesto enemigo a batir” en la carrera de los smartphones, de las que se hacen eco a lo largo de toda la red. De paso también se pueden observar las medidas preventivas contra ciertas personas por parte de Apple, o al menos la primera fase de ellas.

El Consejo Nacional Consultivo de CyberSeguridad alerta de la necesidad de incrementar la seguridad en las Infraestructuras Críticas del país

El Consejo Nacional Consultivo de Cyberseguridad celebró el pasado día 9 una mesa redonda que reunió a los principales expertos en seguridad de Infraestructuras Críticas del país. La mesa que estuvo presidida y moderada por Xabier Mitxelena, presidente del CNCCS y director general de S21sec, contó, como invitados de honor, con:

1. Fernando Sánchez (Director CNPIC)
2. Manuel Escalante (Director de Operaciones de INTECO)

 Y con la participación de distintos miembros del CNCCS:

1. Paloma Llaneza (Presidente AEDEL)
2. Igor Unanue (CEO S21sec labs)
3. Carlos Jimenez (CEO Secuware)
4. Joaquín Castillejo (CEO Tb security)

La seguridad en este tipo de infraestructuras sufrió un antes y un después a raíz del 11-S. El ataque a las Torres Gemelas planteó la posibilidad de un ataque cibernético a infraestructuras clave del estado como un riesgo a mitigar pero, no es hasta el año 2004 cuando se lanzan iniciativas gubernamentales para hacer frente a este tipo de riesgos en Estados Unidos y Europa. En el caso de España cristalizó en el año 2007 con la creación del  Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), dependiente del Ministerio del Interior.

Pero ¿por qué de repente estas infraestructuras pueden ser consideradas más vulnerables?
Existen varias razones:

1. La primera la creciente interconexión de los sistemas de control de las infraestructuras críticas a través de Internet,
2. La segunda la cada vez mayor dependencia tecnológica en todos los sectores y el enorme potencial alcanzado por las Tecnologías de la Información.
3. Por último, la facilidad y accesibilidad a las diversas herramientas y redes con las que realizar un ataque a través de Sistemas de Información.

S21sec en la Black Hat DC

El día 31 de enero, llegó la delegación del equipo de auditorías de S21Sec a Washington DC, directamente a dormir por eso del cansancio del viaje más el jet lag.

El día 1 de febrero tocó relacionarse un poco con asistentes saludamos a Moxie Malinspike, a Deviant Ollam, Mike Kershaw, la tropa de Metasploit y a otros que conocemos de otros congresos, tanto Christian Martorella como un servidor estamos curtidos en estos congresos.

El día 2 de febrero, el día que presentaba, empezamos asistiendo a la presentación del cómico (y no por eso menos brillante) presentación de Chema Alonso, a ritmo de Macarena presentó su ataque "Connnection String Parameter Pollution", con gran éxito.

Después asistimos a las presentaciones de Mike Bailey y Joe Grant sobre flash hacks y “Hardware is the new software”. La primera bastante interesante donde Mike presento vulnerabilidades en importantes sitios que tienen aplicaciones Flash incrustadas, como por ejemplo, Microsoft y Paypal. A la presentación de Joe Grant llegamos algo tarde y visto el componente ultra a bajo nivel que estaba usando ya era imposible seguirle, pero me leí su whitepaper y me pareció muy muy bueno.

Llegó entonces la comida, un servicio realmente bueno, para que luego digan que toda la comida en USA es basura... Pero que no pude saborear mucho ya que quería dejarlo todo preparado para la mi presentación que era justo después de comer.

Llegó el gran momento, mi presentación "Playing a Satellite Environment 1.2" a la cual, a pesar de ser después de una abundante comida, vino bastante gente casi llenándose la sala más grande de las de la conferencia, por lo cual nos quedamos muy contentos con el éxito. Luego de la misma se acercaron algunas personas durante el resto de la conferencia, con ideas de como realizar la detección de las conexiones spoofeadas, pero hablando del tema se han desestimado todas las ideas, ya que se pueden evitar.

Después, una de las mejores sin ninguna duda fue la de David Litchfield "Hacking Oracle 11g", en la cual hace un repaso por la historia de la seguridad en Oracle y posteriormente expone vulnerabilidades en Oracle 11g, cuando lo ves te das cuenta que es muy muy sencillo... Pero claro debes de conocer las interioridades de esta base de datos, y en eso a David Lichfield supongo que solo algunos pocos empleados de Oracle le superan, y si no es así, David da la impresión al menos que por sus venas corre código PL-SQL.

Mashups, Web Scraping y News Radar

Aunque Internet en sus comienzos (en realidad, la parte “web” de Internet) puede verse como un conjunto heterogéneo de sitios web que no responden a estructuras predefinidas (y que a veces ni siquiera cumplen con los estándares establecidos), la aparición de formatos basados en XML que permiten recibir la información de forma estructurada facilita el nacimiento de nuevas aplicaciones. RSS y ATOM son dos claros ejemplos de este tipo de formatos.

Una de las ventajas de estos formatos estructurados es que se puede “hacer cosas” con la información, ya que por ejemplo, dada una noticia, podemos conocer cuál es el título, cual es el cuerpo de la noticia, etc. En general, el término ‘mashup’ podría definirse como “sitio web o aplicación web que usa contenido de otras aplicaciones Web para crear un nuevo contenido completo, consumiendo servicios directamente, siempre a través de protocolo http”, pero en el contexto de los feeds rss consistiría en crear un feed a partir de otros, bien sea simplemente sumando las entradas o realizando algún tipo de procesamiento. Cuando estos ‘mashup’ están destinados a recabar noticias de diferentes fuentes en tiempo real y de manera continua, se suelen denominar ‘News Radar’.

El término ‘Web Scraping’ define otra forma de abordar el problema, extrayendo información concreta de una fuente no estructurada. Basa su utilidad en el escenario caótico de la web que describíamos al principio y un buen ejemplo podría ser el procesado de la portada de la edición digital de cualquier periódico para extraer el pronóstico del tiempo y mostrarlo en otro sitio web.

En cuanto a aspectos más prácticos, hay muchas aplicaciones que facilitan la creación de mashups. Una de las más útiles es Yahoo Pipes, que permite generar un feed a partir de otros y hacer operaciones interesantes como eliminar duplicados, filtrar por contenido (entradas que contengan cierto término), truncar los feeds, traducir las entradas, filtrar por fecha y un largo etcétera. Se puede mezclar esto con las salidas de tipo RSS que permiten muchos buscadores -aunque no ofrezcan la opción de manera visible-, o con feeds que cada vez que son invocadas realizan una búsqueda (Google Alerts).

Sin embargo, y aunque es indiscutible la utilidad de este tipo de soluciones para la protección de la imagen de marca, en la práctica son muchas sus carencias y esto se acentúa en cuanto el volumen de información deja de ser pequeño, lo que impide que puedan resultar una solución en sí mismas. Son necesarias estructuras mucho más complejas para este propósito que permitan el análisis automático de la información, como tecnologías de lingüística computacional, categorización, etc.

Y ya sabéis, las posibilidades son muy amplias, y también hay documentación “for dummies” ;)

Más información:

http://www.masternewmedia.org/news/2005/03/04/how_to_create_news_radars.htm

http://www.masternewmedia.org/2004/09/17/rss_wave_good_examples_of.htm

http://es.wikipedia.org/wiki/Mashup_(aplicación_web_híbrida)

http://franchu.net/2007/06/02/como-hacer-un-mashup-y-no-morir-en-el-intento/

http://www.masternewmedia.org/newsradars/newsradars_definition/newsradars_what_they_are_benefits_characteristics_20051108.htm

http://www.masternewmedia.org/2004/02/19/the_birth_of_the_newsmaster.htm

Alberto Yoldi

S21Sec e-crime

Wireless en la industria

La última S4 celebrada en EE.UU. giró en su mayor parte sobre soluciones wireless para las redes industriales, como ya vimos en los post sobre los temas tratados en este post y este otro. Hay mucho interés en utilizar dicha tecnología, pero ¿realmente es tan necesaria en un entorno tan acotado?
Haciendo un pequeño resumen de lo que podemos tener en la industria y como están repartidos los equipos tenemos:

• La industria es un entorno muy controlado.
• Las comunicaciones son las mínimas y que se limitan a unir los terminales remotos a los equipos para centralizar los análisis.
• Normalmente los ambientes suelen ser ruidosos, y no me refiero a que haya ruido sonoro, sino a que hay muchas transmisiones e interferencias producidas por todos los aparatos que allí están.
• La distancia entre los diferentes dispositivos no va a ser muy grande, a excepción de infraestructuras como canalizaciones de gas, petróleo, etc. donde estaremos hablando de km. De separación entre diferentes terminales remotos.

Analizando cada punto por separado podemos ir obteniendo algunas conclusiones.

• Al tener controlado el entorno bien podemos utilizar la tecnología wireless y a ahorrar dinero en cableado y su mantenimiento. Si bien, desde que las redes industriales se han unido a las empresariales las amenazas se han multiplicado y ya no son entornos tan controlados. Si nos referimos a posibilidad de acceso a las instalaciones entonces sigue siendo un entorno totalmente controlado, por lo que el acceso a la red, wireless, solo se podría dar desde dentro de la industria.
• Al ser mínimas las comunicaciones la tasa de trasferencia de datos que puede proporcionar una red wireless es más que suficiente para la cantidad de datos transmitidos.
• Los ambientes ruidosos no se llevan muy bien con el wireless, pues todas las interferencias le afectan y reducen su calidad y distancia de uso.
• Las distancias pequeñas entre los dispositivos hace que el coste de cableado no sea elevado, y el ahorro por la utilización de wireless no sea notable. En el caso de grandes distancias a lo mejor si es ventajosa la utilización de wireless para que los dispositivos se comuniquen entre ellos, aunque hemos de tener en cuenta las limitaciones de distancia, por lo que solo nos sirve si la distancia es inferior a los 200 para una antena normal, y en el orden de pocos km para antenas muy direccionales. También podemos encontrar algún caso extremo de comunicación que llega a 125 millas como podemos ver en este enlace.

A parte de todo lo anterior tenemos que tener otras características en mente.
Todos los equipos necesitan alimentación para su funcionamiento. Esta alimentación hay que proporcionarla, por lo que a la vez que se hace el cableado de alimentación se puede hacer el de comunicaciones sin mucho mayor coste. Además hemos de tener en cuenta que para equipos que funcionan con baterías el wireless supone un gasto extra de energía. Si hablamos de poca distancia, el cableado clásico no supone ningún problema ya que resulta barato y es robusto ante las interferencias.
Las radiaciones afectan a las transmisiones, y conseguir un inhibidor de frecuencias es sencillo. Un solo inhibidor puede hacer que toda la red wireless deje de comunicarse.
En las redes industriales lo más importante de todo es la comunicación y que los datos no se pierdan. Todos conocemos el funcionamiento de vuestro wifi en casa, ¿Qué opináis sobre su uso en infraestructuras críticas? Yo creo que de momento están un poco verdes para su utilización en el entorno industrial.

Jairo Alonso
S21sec Labs

GSM: Un gigante con pies de barro

Para la tranquilidad de las operadoras, ya ha pasado la reciente tormenta de noticias sobre el cada vez más terrenal ataque a los algoritmos de cifrado de flujos implementados en GSM y UMTS (A5/1-2-3). El mensaje sobre las intenciones del equipo de uno de los ataques ya había obtenido respuesta oficial en agosto de 2009, ninguneando la repercusión que se obtendría de ello. De hecho, tras la publicación en diciembre no ha alcanzado una masa crítica de población -los medios de comunicación en masa no han propagado la noticia- como para verse forzados a tomar medidas para resolver el problema. Y por supuesto, tampoco supone una amenaza para la economía de las operadoras de telefonía móvil, dejando en segundo plano los asuntos de la privacidad.

Sin embargo, esconder la cabeza en la tierra no va a servir a medio plazo, ya que los expertos en seguridad no pararán hasta simplificar los criptoanálisis de las comunicaciones por el aire lo suficiente como para que sea viable hacerlos con hardware de bajo coste. Además, creo que es cuestión de tiempo que se retome un viejo vector de ataque del que las operadoras sí tomaron una rápida decisión al cortarlo de raíz, debido a la gravedad de lo que se podía hacer con ello. Se comenzaron a distribuir nuevas tarjetas con el bug corregido, siendo cuestión de tiempo que se renovara todo el parque gracias a las portabilidades, altas y bajas.

La actitud que las grandes operadoras de telefonía móvil y de la GSM Alliance arrastran desde hace años ha supuesto una oportunidad de negocio inmejorable, ya que indirectamente justifican la necesidad de una capa de seguridad adicional en las comunicaciones digitales. Hasta hace poco la clientela de este tipo de soluciones había estado reducida a entornos gubernamentales con presupuestos ingentes, y en general grandes organizaciones que no se podían permitir que sus conversaciones estatégicas fueran intervenidas, cifrando con una capa adicional las comunicaciones de extremo a extremo. Estos criptófonos llevan tiempo en el mercado, y en algunos casos no son más que plataformas de telefonía móvil comerciales con el hardware modificado y su precio extremadamente inflado. Si el Ministerio de Defensa español compra una versión hecha en casa, bastante preocupante debería ser para nosotros los ciudadanos.

Según se van haciendo más palpables estos ataques, van bajando el precio de estas soluciones, e incluso los proveedores ya permiten que los usuarios de a pie las prueben. Creo que es cuestión de tiempo que se cree algún proyecto de código abierto que permita de una forma transparente para el usuario hacer llamadas VoIP con algoritmos de cifrado de código asimétrico públicos, libres de patentes y bien probados, como es el caso de ElGamal, usado en el proyecto GnuPG.

Como último detalle, y en relación a la poca evolución que han experimentado las tarjetas SIM en estos 15 años -básicamente más capacidad de memoria-, me preocupa bastante que salgan iniciativas como estas, ya que, como en el caso de los routers ADSL, dejamos en manos de nuestra operadora el correcto plataformado de las configuraciones de seguridad predeterminadas. Además, con el código grabado en íntegramente en ROM, y una implementación de la interfaz con el mundo exterior privativa y cerrada ¿cómo parchear vulnerabilidades si estas aparecen?

Álvaro Ramón
S21sec labs

Smishing

Smishing, o Phishing a través de SMS, consiste en el envío de SMS a teléfonos móviles con el fin de obtener información privada de los usuarios. Como en el caso del Phishing, un ataque de smishing está diseñado para que la víctima se vea obligada a dar una respuesta inmediata a un problema que le afecta directamente.
El Smishing es un problema creciente para todos los sectores bancarios, y se está volviendo una metodología de preferencia para los criminales porque cada vez es más frecuente conectarse a Internet a través del teléfono móvil.

En el tipo de ataque más común, todo comienza con un SMS supuestamente enviado desde un banco al usuario. Este dice que su cuenta ha sido bloqueada porque alguien ha intentado acceder introduciendo el PIN erróneo tres veces seguidas. Se proporciona además un número de teléfono donde se puede "verificar" el estado de la cuenta. Cuando el usuario llama, en realidad está cayendo en la trampa. Un sistema de voz automático pregunta por datos de acceso a la cuenta bancaria y datos personales, como número de la tarjeta de crédito, PIN, DNI, etc.

La tasa de éxito del Smishing es mayor que la del Phishing estándar porque los usuarios no están acostumbrados a recibir spam en el teléfono móvil. Tendemos a pensar que los SMS que nos llegan al móvil son más legítimos que los e-mails. Además, mientras que la mayoría de e-mails de Phishing acaban bloqueados por los filtros de spam, no hay mecanismos extendidos para protegerse contra la llegada de SMS maliciosos.

Como con otros tipos de Phishing, las bandas de criminales pueden aprovecharse de servicios legítimos para atacar a los usuarios de teléfonos móviles. Por ejemplo, existen servicios para enviar grandes cantidades de mensajes desde un ordenador hacia miles de móviles. Los criminales incluso ofrecen estos servicios a otros criminales, cobrándoles un precio fijo por una cantidad dada de SMS enviados (40 ó 50 dólares por cada 1000 SMS enviados, por ejemplo).

Por último, también es posible comprar software que enmascara el ID del emisor para que parezca que el mensaje es enviado desde una dirección de e-mail que pertenece a una entidad legítima.

Paco Alemán
S21sec e-crime

Google contra China

"Es mejor volver atrás que perderse en el camino."Proverbio chino

Después del sofisticado ataque informático sufrido por Google en China, el buscador ha amenazado con interrumpir sus operaciones en el país si no logra negociar la retirada de la censura impuesta en el motor de búsqueda.

El ataque, que se produjo a mediados de diciembre, tuvo por objetivo las cuentas de Gmail de una serie de activistas chinos de derechos humanos, y también el robo de propiedad intelectual.

Este ataque informático no sólo afectó a Google, sino que afectó a otras 34 empresas, la mayoría situadas en Sillicon Valley, California.

Como consecuencia de los ataques, Google ha publicado una serie de recomendaciones de seguridad dirigidas a los usuarios de Gmail, con el objeto de que protejan adecuadamente las computadoras y dispositivos móviles.

Por otro lado, un portavoz no identificado del Ministerio de Industria de China ha negado ninguna relación con los ataques, pero ha insistido en que cualquier compañía extranjera que se encuentre establecida en China debe respetar las leyes del país.

Fuente: www.torrentbomb.com

La noticia de la posible partida de Google del país ha provocado una gran controversia en todo el mundo, suscitando innumerables reacciones.

Inmediatamente después de los ataques, las acciones de Google cayeron un 1,5% en la Bolsa de Nueva York, mientras que las acciones de Baidu, el principal buscador chino, subieron un 11%.

La siguiente consecuencia fue el aplazamiento del lanzamiento en China de dos teléfonos móviles con el sistema operativo Android, desarrollados de forma conjunta con Samsung y Motorola.

Por su parte, Google está investigando si el ataque pudo ser facilitado por alguno de sus empleados. Por ello, el pasado 13 de enero algunos empleados no pudieron acceder a su puesto de trabajo habitual, mientras que otros fueron trasladados de oficina.

Por otro lado, el 21 de enero, la Secretaria de Estado de EEUU, Hilary Clinton salió en defensa de Google, criticando duramente la censura china.

Unos días más tarde, apareció un buscador denominado Gojjle, una imitación china de Google que le suplica que no se marche de China.

Los logotipos de Gojjle (izqda) y Baidu (dcha) son claramente similares

Se trata de un juego de palabras ya que Google en chino significa hermano, y Gojjle hermana. El logo utilizado es prácticamente igual que el de Google, pero con la diferencia que incluye la huella característica del buscador Baidu.

Aunque el origen de Goojjle es un misterio, parece evidente que se trata de una respuesta a la amenaza de Google de abandonar el país. Incluso cuenta con un elocuente video promocional en el que se ve a una joven sorda que lucha por aprender a tocar el violín, a pesar de que nadie en su entorno cree que sea capaz.

Unas semanas más tarde, en el Foro Económico Mundial de Davos, China exigió que no se tratase este tema.

El último capítulo de esta historia se ha cerrado con el acuerdo suscrito entre Google y la Agencia de Seguridad Nacional de EEUU para investigar los ataques, con el fin de incrementar el nivel de seguridad.

Google lleva presente en China desde el año 2006, país en el que se instaló bajo la condición de censurar resultados con contenidos sensibles para el Gobierno.

Por otro lado, China cuenta con un mercado de más de 170 millones de usuarios, que suponen un 20% del total de internautas en el mundo.

Antes de la implantación de Google en China, los contenidos de Google eran accesibles aunque de forma sesgada debido a la censura.

Actualmente, Google cuenta con una cuota de mercado en China de un 33%, muy inferior al 63 % que ostenta Baidu, de conformidad con los datos que maneja iResearch (consultora china). El resto de los competidores no alcanzan el 1%.


Adriana Rodríguez-Miranda Sánchez
S21sec, Oficina de Proyectos

Técnicas de Post-Explotación (I)

Desbordamientos de pila, inclusión arbitraría de ficheros, inyección de comandos, inyección de sentencias SQL, son algunas de las vulnerabilidades críticas más conocidas que permiten acceder a un sistema remoto. Hoy en día la posibilidad de que una de estas vulnerabilidades sea descubierta y pueda ser utilizada por cualquiera para acceder a un sistema remoto son altas. Es ahí donde entra en juego por un lado las medidas de seguridad implementadas para evitar la propagación de la intrusión a los demás sistemas, así como la habilidad del atacante para extender la intrusión al resto de recursos. Con el objetivo de conocer algunas de las técnicas utilizadas para este propósito, así como las medidas a tomar en cuenta para evitar sus consecuencias, comenzamos una serie de artículos sobre lo que se conoce como post explotación.

La mejor forma de entender los diferentes aspectos que engloba la post explotación, es situarnos en un posible escenario y plantearnos las cuestiones que puedan surgir. Para ello, y de forma práctica iremos analizando algunas de las técnicas de post explotación, comenzando por las mas antiguas, hasta llegar a las técnicas mas actuales.

La mayoría de sistemas que ofrecen un servicio a través de Internet ofrecen un esquema (simplificado) similar al siguiente:

Supongamos ahora que el servidor Web contiene una vulnerabilidad, como por ejemplo un RFI (Remote File Inclusion), y el atacante tras explotar la vulnerabilidad se encuentra con acceso al servidor y ejecutando comandos.

Tal y como se encuentra configurado el cortafuegos, se prohíbe el acceso desde el exterior al resto de servidores de la DMZ excepto al servicio HTTP del servidor WEB, por lo que será imposible realizar una conexión directa desde el cliente al resto de servidores. Habitualmente los administradores enfocan las reglas de los cortafuegos perimetrales para defender los equipos internos de posibles conexiones externas, obviando las reglas que impiden las conexiones salientes.

Scammers: Cuidado solter@s!!!

Hace un tiempo, un amigo asiduo a portales de búsqueda de parejas y/o amistades (cuya identidad prometo no revelar), me contó algo curioso que le había sucedido:

El caso es que había conocido una chica, muy guapa ella, con la que intercambiaba correos asiduamente. Tenía su origen en Europa del este, y escribía con un "Google Translator English" bastante fluido. Después de un par de semanas de intercambio de correos y de ir cogiendo confianza ella le contó que tenía pensado viajar a España en cuanto finalizase con un pico de trabajo que estaba pasando.

Perfecto, pensó él, así podremos conocernos!!!. La relación a distancia parecía ir viento en popa, cuando un día ella empezó a hablar de problemas económicos que le impedían hacer el viaje.

"Te pido solamente no perder la esperanza, porque quiero mucho el encuentro con tu! Y me eres muy necesario! Y es necesario ahora solamente solucionar el problema con mi viaje y podre salir volando a ti. Me es necesario solamente 420euro y sere en el avion. Mi gatito, Yo pedia tu ayuda solamente de la situacion sin salida. En el ultimo momento. No espero que podras a yo ayudar. Mi todavia en las busquedas de la decision del problema. Pero yo mientras que no tengo decision. La mama trata de encontrar tambien el dinero para mi. Pero mientras que todos los sin resultado. Puedo vender mi oro la cadenita en el monte de piedad,y podre recibir 150-170euro es adicional. Pero es el maximo de mis fuerzas y las posibilidades."

La cosa pasaba a ser sospechosa, más aun cuando unos días más tarde pedía directamente ayuda económica al sujeto.

"Que hacer todavia, no se. Y solamente con la ultima esperanza me te he dirigido despues la ayuda. Ti perdona por favor que creo a tu los problemas. Comprende por favor correctamente, si podras a yo ayudar, en seguida saldre volando a tu. Yo no tengo problema en la aduana. No no pagare este dinero en la aduana, me sera necesario solamente mostrar. Y sere el regreso a ti del dinero."

A partir de ahí la relación se empezó a enfriar y unos días más tarde el perfil de la chica fue denunciado y borrado del portal.

Después de esta historia quien mas y quien menos se hace una idea de que es un "scammer": Un estafador cuya única intención es la de obtener dinero a cambio de falsas promesas. En este caso en concreto promesas de cariño, compañía, y....

En los últimos tiempos este tipo de estafador está intentando hacer su agosto en portales tipo Meetic, Match, etc. viéndose infinidad de casos como el que antes he comentado. Así que si eres asiduo de este tipo de páginas, una recomendación: desconfía de perfiles extraños, puesto que el tiempo no es lo único que puedas llegar a perder.

Algunas listas de Scammers:

http://www.scammerlist.com/
http://www.stop-scammers.com/
http://www.inter-mariage.com/fr/phtm/scamlist.php
http://www.russian-detective.com/black_lists/individ/individual_scammers3.htm
http://www.419baiter.com/_scam_emails/scammer-email-addresses.html
http://www.russian-scammers.com/Russian_scammers/Scammer_list/


Raúl Martínez
S21Sec e-crime

Smart Grid, ¿una red demasiado ”lista”? (I)

Hace tiempo que llevo escuchando hablar del concepto de Red Eléctrica Inteligente, cuyo término anglosajón es Smart Grid, y la verdad es que creo que es necesario destacar las muchas implicaciones de seguridad de la Red Eléctrica del futuro, sobre todo desde el punto de vista de la privacidad. Es ahora, en los orígenes de esta nueva red, cuando hay que poner de manifiesto este tipo de preocupaciones para que se tomen las medidas oportunas en la misma fase de diseño.

En este post voy a intentar explicaros brevemente qué es esto de la Smart Grid y qué consecuencias tendrá en el día a día para el consumidor final, dejando para uno o varios posts futuros, el aspecto de la seguridad.

La red eléctrica que todos conocemos fue diseñada con un único objetivo: "que nuestras bombillas siguieran dando luz". Esto se traduce en que algunos aspectos que parecen obvios y necesarios hoy en día no se tuvieron en cuenta en su diseño. Ejemplos de los mismos son: garantizar la eficiencia energética, considerar el impacto medioambiental, ser flexible para incorporar fácilmente cualquier fuente de energía alternativa o proporcionar una amplia cartera de opciones de contratación energética al cliente final. Sí, éste último equivale a las múltiples posibilidades de contratos de Movistar o Vodafone que a todos nos vuelven locos.

Hoy en día tanto en Estados Unidos como en Europa se están realizando grandes esfuerzos, tanto públicos como privados, para modernizar esta red tonta y obsoleta y convertirla en una moderna e inteligente. El principio básico que está detrás de esta nueva red eléctrica inteligente es el flujo bidireccional de información y de electricidad entre el cliente final y la compañía eléctrica. Para ello cobran importancia singular las infraestructuras y tecnologías de comunicación de datos, y surgen nuevos conceptos como los contadores inteligentes, los sensores inteligentes o los dispositivos (Ej. electrodomésticos) inteligentes. Como podéis ver, todo es inteligente.

Los objetivos de diseño de esta nueva red incluyen:

• Que sea capaz de sentir las sobretensiones y de enrutar la electricidad por caminos alternativos para prevenir o minimizar apagones. En este mismo sentido se busca que la Red sea capaz de funcionar de manera autónoma, tomando decisiones rápidas por sí misma ante situaciones complejas, siempre alienadas con los objetivos tanto de la compañía eléctrica, como de los consumidores y los reguladores.
  
• Muy relacionado con lo anterior es que la Smart Grid ha de ser robusta ante desastres naturales, ataques físicos o ciberataques, minimizando las consecuencias de los mismos, y siendo capaz de reanudar la actividad normal rápidamente. Para ello se busca una arquitectura más descentralizada y el uso de protocolos seguros.
  
• Se busca que la red sea eficiente, capaz de cubrir los incrementos de demanda sin necesidad de añadir nueva infraestructura. Por ejemplo, esto se traduciría en que ante picos de demanda (aire acondicionado en verano o calefacciones en invierno), la energía sobrante en unos lugares sea derivada hacia otros donde sea necesaria. Actualmente se acoplan centrales de parche (basadas en carbón o petróleo), que son difíciles de incorporar a la red, viejas y poco cuidadosas con el medio ambiente.
  
• Incorporar a la misma a los nuevos productores de electricidad como las huertas/granjas solares y los parques eólicos.
  
• Permitir que el cliente final decida cómo, cuándo y cuánta electricidad usa, de manera que este uso se ajuste a sus preferencias individuales de presupuesto, compromiso con el medio ambiente, etc.
  
• Mejorar la calidad de la energía suministrada, lo que se traduce en evitar fluctuaciones de la tensión (picos y bajos) y evitar interrupciones puntuales.
  
• Ha de ser más "verde", lo que es consecuencia directa de varios factores ya mencionados. Hoy en día la responsabilidad social es fundamental para la imagen corporativa.
  

Pero todo esto, ¿qué consecuencias tendrá en el día a día de las personas?, ¿cómo va a cambiar la forma que tenemos de entender este servicio básico para nuestras vidas? Es en las respuestas a estas preguntas cuando os vais a dar cuenta de sus implicaciones desde el punto de vista de la privacidad. De momento os dejo que reflexionéis sobre el tema:

• Las compañías eléctricas monitorizarán en tiempo real la energía consumida a través del uso de contadores inteligentes.
  
• El uso de dispositivos inteligentes, como los termostatos o lavavajillas inteligentes, permitirá que éstos se pongan de manera automática en marcha cuando el precio de la energía sea más barato, permitiendo al cliente reducir la factura.
  
• En momentos de picos de consumo, la compañía eléctrica podrá disminuir el consumo eléctrico de los dispositivos inteligentes (Ej. subiendo varios grados la temperatura objetivo del sistema de aire acondicionado de los clientes)
  
• Obtener estadísticas de consumo por cada aparato, lo que se traduce en qué dispositivo resulta más caro desde el punto de vista de consumo eléctrico.
  
• El cliente podrá acogerse a planes de ahorro que proponga la compañía eléctrica de manera que se ajuste el gasto al presupuesto. Esto enlaza con el ejemplo de permitir a la compañía eléctrica que tome el control de los dispositivos inteligentes.
  
• Identificar y aislar los focos de apagones para poder actuar de manera inmediata en su resolución. Hoy en día estamos acostumbrados a que se hagan conjeturas sobre el posible motivo de un apagón, y hasta pasados varios días o semanas, no se sabe realmente cuál ha sido el motivo.
  
• Los usuarios finales recibirán alertas, por ejemplo vía sms, cuando se produzca uno de estos apagones para notificar cuándo será restaurado el servicio.
  
• Monitorizar cuándo una casa está consumiendo más energía de la que produce (Ej. vía paneles solares) a través de los contadores inteligentes, con el objetivo de facturar correctamente al cliente.
  
• Controlar los dispositivos inteligentes (termostato, lavavajillas, lavadora, etc.) y acceder a la información de consumo en tiempo real de forma remota, a través de Internet.
  

Como muchos habréis podido notar, existen diversas implicaciones desde el punto de vista de la seguridad que trataremos en próximos posts. De momento os dejo que reflexionéis y vayáis aportando vuestras malévolas ideas.

Elyoenai Egozcue,

S21sec labs

Ludicrous Passwords

¿Recordáis "La loca historia de las galaxias"? Spaceballs, en versión original. Sí, hombre. Una parodia de Star Wars cuyo título tuvieron el sorprendente buen gusto de adaptar utilizando la palabra "loca" en lugar de "chiflada".

En un momento dado, se daba el siguiente diálogo (os pondría el link a la escena en concreto, pero entendéis que no me meta en jardines poniendo videos con derechos en una página de empresa, ¿verdad?):
"Casco oscuro: Dinos la contraseña o volveremos a ponerle a su hija... SU ANTIGUA NARIZ.
Rey: Nooooo nooooooo, se la regalé por su 16 cumpleaños... está bien... la contraseña es... 1-2-3-4-5.
Casco Oscuro: ¿¡¿1-2-3-4-5?!? ¡Ésa es la contraseña que un idiota pondría en sus maletas!"
Unos segundos más tarde
"Presidente: ¿Lo habéis conseguido? ¿1-2-3-4-5? ¡Es la misma contraseña que tengo en mis maletas!"

Jaja. Qué bueno, ¿eh? ¡Qué cosas tiene este Mel Brooks!

Así es como se queda el desierto en Space Balls después de peinarlo y no encontrar "ni una puñetera piedra".

Pues bien, dos décadas después, y después de habernos dado todos de alta en cientocuarentaysiete sitios web... en el mundo real la gente sigue haciendo exactamente lo mismo.

Al menos esa es la lectura que podemos hacer después de ver el resultado del estudio realizado por Imperva a raíz de la pérdida de más de 32 millones de contraseñas que se almacenaban en texto plano (...¡señor!) en los servidores de rockyou.com.

Los datos de las contraseñas más repetidas son estos:


¿Sorprendidos? Supongo que no tanto.

Además, como coletilla a esta clase de estudios, normalmente se suele añadir el hecho de que la gente tiende a reutilizar sus contraseñas y nombres de usuario. Sin duda. Pero de todas maneras, dejadme creer que no todo el mundo utiliza las mismas claves en Spotify y en el banco donde tienen los ahorros de su vida. ¿Demasiado optimista? Tenéis razón. Quería decir en Spotify y en el banco donde acumulan numeros rojos.

En realidad, el tema de la repetición de contraseñas no es ninguna broma y hace escasas horas Twitter ha publicado una experiencia que han tenido al respecto. Al parecer, hay determinados sitios de torrents que, después de esperar pacientemente a gozar de la suficiente popularidad, han comenzado a "sacar partido" a la información que tenían sobre las contraseñas de sus usuarios.

Sobre las características que ha de tener una buena contraseña hemos leído todos ya mucho -al menos el lector medio que presupongo en este blog-. En cualquier caso, recuerdo un par de posts en los que se trataron estos temas:

• Factor humano y contraseñas.
• Por el mismo precio me llevo una más.

Sin embargo hoy quiero llegar un poco más lejos. Ya que conocemos los riesgos y sabemos cómo construir una contraseña fuerte, vamos a coger hoy de la oreja a la gente de nuestro entorno que más desprotegida pueda estar. A nuestros padres, hermanos, hijos, sobrinos, parejas o amigos y vamos a educarles. No digo concienciar (que eso suele durar lo que dura el miedo), sino educar. Vamos a explicarles por qué y cómo y qué no deberían hacer con sus contraseñas. Y, aunque lleve un ratillo, sentarnos con ellos para que cambien sus contraseñas por unas decentes. Sin duda que resulta mucho más útil que lamentarse o reírse de quien no lo ha sabido hacer mejor como hacía Casco Oscuro al decir: "Bien, Lone Starr, ahora ves que el mal siempre triunfará... porque el bien es idiota".

Luis Tarrafeta

S21sec labs

ZeuS se propaga a través de Facebook

ZeuS sigue en boca de todos, se descarga con falsos antivirus y downloaders, con diferentes exploit kits, y la red social por excelencia no podía ser una excepción. La semana pasada se vieron en Facebook mensajes como el siguiente:

La URL contenida en el mensaje llevaba a un sitio de phishing de Facebook donde se pedía la autenticación en el sistema, a la vez que se ejecutaba código Javascript ofuscado que creaba un iframe oculto en el cuerpo de la página:

La página a la que redirigía el iframe contenía a su vez otros dos iframes:

<iframe g1g="321" src="xd/pdf.pdf" l="56" height="31" width="13">
<iframe g1g="321" src="xd/sNode.php" l="56" height="31" width="13">

El directorio que contenía estos archivos se encontraba listable en el servidor:

El archivo PDF que se intenta descargar es un archivo malicioso que ejecuta código Javascript ofuscado. Contiene tres vulnerabilidades que se intentarán explotar dependiendo de la versión del lector de PDFs que se use:

Los tres exploits tienen la misma shellcode:

Como se puede ver, la ejecución de dicha shellcode lleva a la descarga y ejecución de un binario desde la URL de la imagen anterior. Dicho binario es un ZeuS que se instala en el sistema como sdra64.exe y cuya versión es 1.3.2.4.

A su vez, el archivo sNode.php intenta explotar una vulnerabilidad de flash a través de la ejecución del archivo nowTrue.swf, tras introducir en memoria una shellcode muy parecida a la anterior, pero que en este caso se descargaba un binario de la URL siguiente:

hxxp://109.95.115.35/fsp/load.php?id=5

Este binario descargado tiene un MD5 diferente al anterior, pero en su ejecución efectúa las mismas acciones, siendo igualmenete un ZeuS versión 1.3.2.4.

De forma paralela, cuando se rellenan los datos de la página falsa de Facebook éstos son enviados a otra URL que en el momento del análisis incluía un dominio incorrecto, por lo que no redirigía correctamente:

En cambio, sustituyendo este dominio erróneo por la IP que hospedaba el phishing se llegaba a la página deseada, donde primero se informaba de que se debía actualizar la versión de Adobe Flash Player y se proporcionaba un nuevo binario para ello, con nombre update.exe. Tras esto, aún existía otro enlace en la misma página que instaba a descargar el archivo photo.exe, que resultaba ser el mismo binario anterior. Estos dos últimos binarios también tienen distinto MD5 que los dos primeros, pero siguen comportándose de la misma forma: ZeuS versión 1.3.2.4.

Si desafortunadamente alguno de vosotros pensáis que habéis caído en alguna de las tretas relatadas podéis comprobar si estáis infectados siguiendo los consejos publicados hace unos meses.

Jose Miguel Esparza
S21sec e-crime

Seguridad en VoIP: Decodificando llamadas

Hoy en día, y cada vez más, se están implantado sistemas de comunicación a través de redes IP, también conocidos como Voz sobre IP (VoIP). Por un lado, los operadores de telefonía e internet, desde hace un tiempo, están sustituyendo las líneas analógicas por líneas VoIP, las cuales conectan a través del ADSL con su centralita VoIP y son los routers los encargados de dar señal a nuestros domicilios.

Por otro lado, las empresas contratan servicios de telefonía IP, sustituyendo las antiguas centralitas analógicas o digitales por nuevas centralitas VoIP. También los usuarios utilizan cada vez más estos servicios a través de algún software instalado en sus equipos, como puede ser Skype, para poder comunicarse, sobre todo en grandes distancias, donde este tipo de llamadas es más barato que utilizando las líneas de teléfono o móviles convencionales. Todo esto es debido a la gran escalabilidad y bajo coste que suponen estas nuevas tecnologías.

Una cosa sí que está clara, es más barato, pero primero hay que hacerse algunas preguntas ¿Es seguro? ¿Pueden escuchar mis conversaciones? ¿En realidad la persona que me llama es quien dice ser?

Estas preguntas no son, ni mucho menos, para alarmarnos, sino para poder entender y conocer los problemas que estas nuevas tecnologías suponen.

Pues bien, hasta hace muy poco, este tipo de conversaciones a través de redes TCP/IP no soportaban el cifrado, lo que supone un problema en la confidencialidad de los datos. Por lo que vamos a entrar un poco en detalles de cómo funcionan estas tecnologías para poder entenderlo mejor.

Todas las tecnologías VoIP se componen de:

• Protocolos de Señalización: Se encargan de comunicar los teléfonos o software, para conocer su estado y establecer conexiones. Dichos protocolos no están lo suficientemente estandarizados pero los que más se utilizan son: SIP, IAX2, H.323, SCCP (Skinny) y MGCP.

• Codificación de Voz: La voz (o vídeo) se codifica a través de RTP (Real Time Protocol) utilizando diversas formas de codificar en función al soporte de cada uno de los fabricantes y de las centralitas, teniendo en cuenta que cada uno de ellos es capaz de utilizar un mayor o menor ancho de banda. Los codecs más utilizados son: G.711 (uLaw y aLaw), GSM, G.729, Speex, Adpcm.

Pues bien, es la codificación, o más bien, la decodificación, es el objeto de este artículo, el cual debido a su transporte generalizado por UDP ha sido más difícil de integrar sistemas de cifrado SSL. Existen diversas herramientas que permiten detectar llamadas utilizando los diferentes protocolos de señalización o detectando el inicio de las comunicaciones por RTP:

• CAIN, software utilizado para analizar y explotar problemas de seguridad en redes, fue uno de los primeros programas capaces de detectar y decodificar comunicaciones VoIP.

• Wireshark, potente sniffer de red, el cual soporta el análisis de las comunicaciones VoIP, así como es capaz de decodificar GSM.

• UCSniff: Probablemente una de las últimas herramientas que permite detectar, analizar y decodificar llamadas VoIP y diversos protocolos, así como decodificación de vídeo. Los creadores han añadido pruebas para los entornos más comunes, de manera que facilitan la detección de VLANs dedicadas a la telefonía, VLAN Hopping, ARP poisoning, TFTP MiTM. Todo ello en una interfaz gráfica completamente funcional en entornos Windows o Linux.

• Oreka: Herramienta exclusiva para detectar y decodificar llamadas VoIP.

• Voipong: Aunque un poco antigua, soporta perfectamente la detección de llamadas analizando el tráfico de red en busca de conexiones RTP, en lugar de basarse en el protocolo de señalización.

Para terminar el artículo con una visión positiva, existen soluciones: protocolos de comunicación segura, los cuales cifran los datos utilizando SSL o IPSec, ya sea utilizando SRTP (Secure Real Time Protocol) o túneles TCP/IP entre los diferentes dispositivos de la red. Esto permite asegurar nuestras comunicaciones de una forma transparente y fiable.

Pablo Catalina
Departamento Auditorias, S21sec

Referencias:

http://www.oxid.it/cain.html

http://www.wireshark.org/

http://ucsniff.sourceforge.net

http://www.enderunix.org/voipong

http://oreka.sourceforge.net/