Seguridad analógica

Hoy vamos a escribir de algunos aspectos de la seguridad que a veces pasan inadvertidos. Para gestionar la seguridad de una infraestructura hay que tener en cuenta varios factores, como la seguridad perimetral, el cumplimiento de la normativa legal, la gestión de los elementos de seguridad o la prevención del fraude en caso de ofrecer servicios por internet.

Hay aspectos que no son puramente técnicos. Al final, las personas que usamos, administramos o tenemos acceso a una infraestructura que tiene cierta importancia, podemos ser el origen de una vulnerabilidad. Como muestra, una noticia de hace unos años, pero que ilustra lo que quiero mostrar. Más del 70% de la gente revelaría su contraseña a cambio de una chocolatina. Realmente preocupante, pero hay más casos en los que la falta de concienciación supone un riesgo para la seguridad, como este caso en el que un consultor deja memorias USB con malware por la oficina. Al poco tiempo, los empleados los cogen, miran su contenido e infectan sin querer su ordenador, enviando información sensible al exterior. Otro ejemplo es el empleado que desenchufa unos servidores por 10$ cortando el servicio. Un ataque frustrado muy conocido es el intento de robo a un importante banco internacional. Al parecer, los ladrones, haciéndose pasar por empleados de la limpieza instalaron pequeños keyloggers en los teclados de los ordenadores de los empleados.

¿Crees que podría pasar algo así en tu lugar de trabajo?
¿Qué harías si te encuentras o te regalan una memoria USB en el trabajo?
¿Qué acceso a instalaciones críticas tiene el personal de limpieza o de mantenimiento?
¿Has recibido formación relacionada con la seguridad?

Patxi Astiz
S21sec labs

S21sec crea una unidad de inteligencia, vigilancia y lucha contra el fraude online

• Se trata de una unidad clave de la compañía, que operará en España y en el exterior

• Su creación es consecuencia del aumento de un 98% de los casos de fraude en 2007 con respecto al año anterior

S21sec ha creado una nueva unidad de inteligencia, vigilancia y lucha contra el fraude online para dar respuesta al incremento de amenazas que afectan a las organizaciones, debido principalmente a la proliferación de actividades criminales en Internet (cibercrimen).

Esta unidad permitirá detectar y resolver estos incidentes las 24 horas los 365 días del año.

La unidad opera desde el Centro de Operaciones de Seguridad (SOC) de S21sec en Madrid, y ofrece cuatro líneas de servicios para responder de una manera más eficaz a las diferentes amenazas:

• Fraude en Internet: S21sec garantiza una protección y lucha contra todas las diferentes formas de fraude: phishing, pharming, vishing, botnets, o la utilización de código malicioso, entre otros; con este servicio su empresa será capaz de detectar, prevenir y eliminar pérdidas económicas, robos de identidad y pérdida de confianza de clientes y usuarios. Además, hará frente a las nuevas amenazas en este área como click fraud, pay per install, posicionamiento malicioso en buscadores o la venta de credenciales robadas.
• Vigilancia Digital: Con este servicio, S21sec ofrece la posibilidad de salvaguardar la imagen, la credibilidad y la reputación de directivos, empresas, marcas o productos que son víctimas de calumnias, amenazas o difamaciones por la red. S21sec analiza más de 18.000 webs a la hora rastreando este tipo de casos.
• Inteligencia: Es un servicio de información exclusivo de S21sec a través del cual los especialistas de seguridad digital de la empresa estudian nuevas formas de fraude, técnicas avanzadas de infección de máquinas, métodos de lavado de dinero, o la relación entre incidentes, entre otras. El análisis de estas técnicas permitirá a los especialistas de S21sec ofrecer una información detallada y personalizada sobre los riesgos que pudieran afectar a una organización, analizando en profundidad incidentes de espionaje industrial, riesgos inherentes a infraestructuras críticas o amenazas ciberterroristas y geopolíticas.
• Formación especializada: S21sec ofrece a las organizaciones y Fuerzas de Seguridad una formación sobre las nuevas amenazas por la red para que puedan enfrentarse a ellas adecuadamente.

Estos cuatro servicios responden al nuevo panorama de las amenazas digitales originadas por bandas de crimen organizado con experiencia y multitud de recursos, que se aprovechan del anonimato que les proporciona la red, la diversidad geográfica de los sistemas y la permisividad de ciertos países ante este tipo de delitos.

En los últimos años, los ataques no sólo se han multiplicado en número, sino que cada vez son más sofisticados y afectan a distintos sectores como la Banca, las Telecomunicaciones y las Administraciones Públicas.

Según los datos del Centro de Operaciones de Seguridad de S21sec, en 2007, la compañía gestionó casi 1.700 casos de fraude (1.114 de phishing, 534 de troyanos y 19 de scam), y analizó más de 1.000 muestras de código malicioso de forma diaria. Esto supone un aumento de un 98% de casos de fraude con respecto al año 2006.

Protección de infraestructuras críticas y espionaje industrial en la red: dos amenazas crecientes

En la actualidad se producen casos de espionaje industrial perfectamente planificados dirigidos a organizaciones, cuyo objetivo es el robo, eliminación o manipulación de información sensible. También es cada vez mayor la amenaza de ataques contra las infraestructuras críticas de una nación por parte de grupos terroristas como por ejemplo infraestructuras de electricidad, gas, refinerías y aeropuertos.

La creación de esta unidad de inteligencia, vigilancia y lucha contra el fraude online se complementa con una serie de acuerdos estratégicos alcanzados por S21sec con organizaciones reconocidas en todo el mundo como Microsoft, VeriSign, o iDefense. También trabaja conjuntamente con las distintas Fuerzas de Seguridad, tanto nacionales como internacionales que luchan contra la ciberdelincuencia y los delitos digitales.

María Asín
Responsable Marketing

¿Vulnerabilidades en usuarios sin privilegios?

La seguridad de las aplicaciones que dan soporte a un negocio son cruciales para su éxito. Por ello, las normas y códigos de buenas prácticas en los sistemas de SGSI, aconsejan la creación y el uso de usuarios con permisos restringidos.

Esto puede resultar en dos problemas con difícil solución:

• Realizar un correcto análisis de la necesidad del negocio en base al perfil del usuario. Es decir, crear roles de acuerdo a los requerimientos de los diferentes perfiles y asignarles privilegios adecuados. Lo que en la práctica no es tan sencillo ni trivial.
  

• Caer en la falsa creencia de que un usuario restringido es menos vulnerable a los problemas de seguridad de las aplicaciones de escritorio.
  

Algunos departamentos de IT argumentan que no es necesario actualizar versiones vulnerables de aplicaciones cliente porque los usuarios que las usan tienen los permiso restringidos y por ello, no pueden ser explotadas. Me vienen a la cabeza unos cuantos ataques a los cuales estos usuarios "sin privilegios" serían vulnerables, pongamos por ejemplo ser carne de botnets, MITM, phishing, csrf y cualquier tipo de malware.

La correcta gestión de usuarios sin privilegios en los SOs es ya de por sí complicada, pero si a eso le unimos contradicciones como permisos de administrador para actualizar software, versiones previas de software actualizado (java), y la heterogeneidad de todas las aplicaciones cliente, nos encontraremos en un escenario caótico donde la única regla será "sálvese quien pueda".

¿Todavía crees que no es necesario actualizar tu versión de adobe reader, java (JRE), quicktime, firefox, realplayer o excel?, sólo por nombrar algunas aplicaciones cliente, aunque bien es cierto que firefox es una de las mejores en cuanto a las actualizaciones automáticas.

Las aplicaciones de escritorio actualmente están siendo objeto de ataques tipo "Drive by download" donde el usuario, a través de una vulnerabilidad en estas aplicaciones se descarga malware sin su conocimiento simplemente por visitar una página web. Luego, siempre nos quedará decir que nosotros no hemos sido.

¿Todavía te crees a salvo con ese usuario sin privilegios?

Emilio Casbas
S21sec labs

Ataques CSRF: -Yo no he sido-

Investigadores forenses que no estén familiarizados con este término pueden ser testigos de ver como su acusado afirma "Yo no me descargué ese fichero, he sido víctima de un ataque CSRF".

Actualmente no sólo basta con ver la cache del navegador, el historial de navegación de un cliente o mostrar los logs de un proxy para afirmar que se descargo tal fichero/película o visitó la página web X.

"A CSRF attack forces a logged-on victim's browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim's browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks."
Owasp Top Ten 2007 -CSRF-

Los acusados de descargarse material Ilegal en Internet pueden argumentar ser víctimas de este tipo de ataque, lo que para un investigador forense será difícil demostrar, ya que este tipo de ataque lo realiza el mismo usuario (víctima) sin ser consciente de ello. Queda mucho trabajo por hacer en el campo de la seguridad web mientras salgan a la luz ataques y vulnerabilidades web descubiertas en el año 2001.

Emilio Casbas
S21sec labs

S21sec en e-Crime 2008

Mañana comienza la sexta edición de e-Crime en Londres, evento referencia en Europa en la lucha contra el ciber crimen.

S21sec también estará allí. Dispondremos de un stand al que todos los interesados podrán acercarse a conocernos e informarse. Además, David Barroso, director de Investigación de S21sec labs, dará dos ponencias sobre Fraude.

Afinando la puntería

Desde hace ya algún tiempo a nadie en su sano juicio se le ocurre abrir correos electrónicos ni visitar páginas de dudosa reputación. En primer lugar porque cada vez somos más desconfiados ante posibles situaciones de riesgo, y en segundo lugar porque muchas veces los correos que nos llegan tienen un formato estándar y es fácil adivinar qué correo puede ser maligno o su traducción es bastante deficiente, lo que nos alerta del peligro que conlleva.

Para tratar de paliar esta parte, los creadores de malware se dedican a contratar "traductores". Ya sabemos que no es nuevo este interés por mejorar las capacidades del malware en todos los aspectos. Lo que ahora les lleva a mejorar el lenguaje es el hecho de las posibilidades que ofrece, ya que aumenta la cantidad de personas que pueden caer en el engaño.

De momento la cosa mejora lentamente, pero es más que posible un aumento de spam o programas maliciosos en un perfecto idioma nativo de los posibles objetivos, y es que cada vez más el malware se hace sofisticado y esta es una de las ramas menos explotadas hasta ahora.

¿Se divisa a lo lejos la creación de malware personalizado para cada objetivo? ¿Qué dificultades supone eso ahora para los creadores de malware y qué inconvenientes para el futuro a la hora de acabar con ese malware?

Miguel López-Negrete
S21sec labs

No des tu password

La gestión de cuentas/contraseñas de usuarios, que comprende aspectos como eliminar o modificar cuentas de usuarios que cambian de puesto dentro de una misma compañía, o modificar el nivel de acceso de un usuario con su cuenta, es una tarea a la que a menudo no se le da la importancia que le corresponde.

Al tratarse de una tarea algo repetitiva, en teoría sencilla, debido a algún descuido, puede ocurrir que no se realice correctamente (dejarse cuentas viejas activas etc.). Además, hay que añadir que en algunas ocasiones son los propios usuarios del sistema los que lo comprometen al facilitar la contraseña de su cuenta.¿Quién no ha visto o conocido la situación en la que un compañero de oficina se va de vacaciones y tiene que dejar su password a otro para realizar una tarea en concreto?.

Todos estaréis pensando que lo que digo no es nada nuevo, pero ante casos como lo ocurrido con el banco frances Société Générale creo que es necesario sacar el tema a la palestra. Si una entidad financiera tan importante como esta última (a la que se le supone que cuenta con unas medidas de seguridad importantes) ha descuidado tanto este aspecto, ¿que es lo que estará ocurriendo en otro tipo de compañías?

Es necesario pues, para que una compañía funcione con unas garantías mínimas de seguridad, por un lado concienciar a los usuarios (mi contraseña es mía y de nadie más) y por otro, llevar un control exhaustivo de quien puede entrar y que puede hacer dentro del sistema.


Asier Marruedo
S21sec labs

¿Qué haces hijo? -Estudiar matemáticas papá-

...mientras tanto, al otro lado de la habitación...

Si ahora convierto 216.163.137.3 a binario obtengo 11011000 10100011 10001001 00000011 ahora lo transformo a decimal y me queda 3634596099 que pasándolo finalmente al sistema hexadecimal ya tengo d8a38903, esto es, http://0xd8a38903

-----------

Existe gran cantidad de información disponible sobre esta técnica de ofuscación de urls aprovechándose del desconocimiento de su estructura, pero, ¿cuál es la base de todo esto?. Gran parte, se debe a las diversas implementaciones que se realizan a partir de una especificación estándar.

Sección 7.4 del RFC3986
[..]

Adding further to the
confusion, some implementations allow each dotted part to be
interpreted as decimal, octal, or hexadecimal, as specified in the C
language (i.e., a leading 0x or 0X implies hexadecimal; a leading 0
implies octal; otherwise, the number is interpreted as decimal).

These additional IP address formats are not allowed in the URI syntax
due to differences between platform implementations. However, they
can become a security concern if an application attempts to filter
access to resources based on the IP address in string literal format.

[...]

Se podría tratar como un viejo y conocido bug en múltiples navegadores que interpreta erróneamente los nombres de host numéricos como direcciones IP.

El caso es que, hasta ahora, este tipo de ambigüedades venía siendo explotada por spammers y phishers como método de ofuscación de urls. Pero últimamente, se está viendo su uso por jóvenes en grandes ISPs con sistemas de filtrado de contenidos. ¿Quién dijo que las matemáticas no servían para nada?

Afortunadamente, parece que este tipo de debilidad, será reforzada o solucionada de alguna manera a partir del nuevo borrador para la seguridad del protocolo http, del cual ya indicamos su existencia anteriormente.

"Many users do not understand the construction of URIs [RFC3986], or their presentation
in common clients [...]. As a result, forms are extremely vulnerable to spoofing."

Mientras esto llegue, podremos seguir viendo urls como:
http://216.0xa3.137.3/
http://216.10717443/
http://0xd8a38903/
http://033050704403/

Lo de los jóvenes saltándose sistemas de filtrado a través de esta técnica podría quedar como mera anécdota si lo comparamos con los riesgos actuales de XSS y CSRF, más peligrosos de lo que la gente quiere creer.

Emilio Casbas
S21sec labs

CONOCE A NUESTROS EXPERTOS

La semana que viene estaremos patrocinando las VII Jornadas de Seguridad de la Información en Defensa organizadas por ISDEFE. Las jornadas tendrán lugar del 11 al 14 de febrero y el día 12 David Barroso, director de Investigación de S21sec labs dará una ponencia sobre el código dañino.

Por otra parte, Antonio Ramos, director de consultoría de S21sec dará una ponencia sobre PCI en las Conferencias sobre el cumplimiento de PCI DSS organizadas por Cisco que se celebrarán el próximo jueves, 14 de febrero en el Museo Thyssen, Madrid.

Y, Antonio Ramos ofrecerá también una ponencia en Palencia el 19 de febrero dentro de las jornadas Globaltech. En esta ocasión sobre la gestión de incidentes y los planes de continuidad del negocio.

¡Nos vemos allí!

Seguridad: mitos de ayer, excusas de hoy

Actualmente, no hay semana que pase en la que no veamos una noticia relacionada con nuevas amenazas web, malware, phishing, perdidas de datos, usuarios descuidados, revelaciones de datos confidenciales etc.

Por ello, aunque a modo general, parece que el concepto de seguridad está empezando a tomarse en serio por el usuario medio, lo cierto es que aún, una vasta mayoría, todavía subestima la importancia de estas medidas o tienen ideas equivocadas.

Actualmente, el grado de sofisticación de los ataques en Internet o directamente a los usuarios, roza ya lo irreal. Y esto, es algo que no va a parar de crecer, mientras exista detrás todo un mercado negro con una gran infraestructura establecida.


Los usuarios deben ser conscientes de ello, pero haría falta mucha educación y sensibilización, cosa que no siempre está al alcance de todos, o no se está por la labor. Tambien observamos cómo los usuarios creen que estan a salvo y fuera de peligro porque creen en mitos que ya no son ciertos actualmente y los ponen como excusas poniendo en peligro su seguridad por el desconocimiento ¿de qué mitos hablamos?:

1. No tengo nada importante en mi equipo.
   
   • Cuestión: No se trata de lo que tengas o no tengas en tu equipo. Se trata de lo que pueden hacer a través de él.
     
   • Solución: No digas "me da igual".
2. Utilizamos scp para transferir ficheros en la red.
   
   • Cuestion: Aunque se usen algoritmos de cifrado y una longitud de clave apropiada, sólo estas seguro seguro desde un punto al otro.
   • Solución: ¿dónde se transmiten los ficheros? ¿quién tiene acceso? ¿se realiza backup de esos ficheros? ¿es necesario? ¿cual es la política de backup?. En cuantos más sitios residan los datos, más difícil es protegerlos.
3. Estamos detrás del Firewall de nuestra empresa o casa.
   • Cuestión: Esta puede ser la excusa más típica, los usuarios se sienten a salvo trás esa "máquina" que les protege. Con las amenazas actuales, los firewall de red e IDS no son suficientes.
   • Solución: La seguridad necesita combatirse a varios niveles. El firewall de red es simplemente uno de esos níveles. El usuario necesita herramientas de seguridad en su propio equipo que le avisen cuando algo ocurre, y explorar la red con navegadores fiables y seguros.
4. Para las transacciones online sólo me fío de los sitios con https.
   
   • Cuestión: Ya hablamos de esa falsa sensación de seguridad.
   • Solución: Concienciación del usuario, experiencia y un sexto sentido.
5. Utilizo un sistema operativo que no necesita antivirus.
   • Cuestión: Cual, ¿Mac?, ¿GNU/Linux?, ¿Windows?.. Los mayores peligros hoy día son multiplataforma, no importa qué SO utilicemos. ¿Se os ocurre cómo un simple rootkit podría introducirse en usuarios de Windows/Linux y MacOS?. Sí ampliamos el concepto de rootkit que tenemos hoy día para ir más alla del S.O como objetivo de éste, podremos verlo en una extensión de firefox por ejemplo.
   • Solución: Muchos abogan por tener un navegador para el ocio y otro para realizar transacciones en Internet, pero no resultaría algo cómodo para el usuario. Hay que buscar nuevas soluciones para las nuevas amenazas.
     

Recuerda, la seguridad es el proceso de mantener un nivel aceptable del riesgo que se percibe, no hay que vivir en un constante estado de paranoia, pero tampoco debemos poner como excusas de nuestra seguridad mitos de ayer que no valen hoy. Al final, todo es cuestión de confianza.

Emilio Casbas
S21sec labs

Pérdidas, robos y estafas

La verdad es que últimamente los británicos están que no levantan cabeza.

Hace un mes supimos que la Oficina de Hacienda y Aduanas del Reino Unido había extraviado 15 millones de datos bancarios de los contribuyentes.

Por si eso no fuera poco, hace unos días se ha sabido que una banda criminal ha estafado al menos 22 millones de euros (aunque se cree que la cantidad es mucho más elevada) a la Hacienda británica usando para ello su propio portal de Internet.
Los delincuentes usurparon la personalidad de 13.000 empleados del gestor de la red ferroviaria, Network Rail, para solicitar en su nombre pagos de hasta 150 euros por persona.Los estafadores usaban su nombre, fecha de nacimiento y número de identificación para reclamar los pagos a través de Internet, alterando para ellos los datos referidos a número de hijos y estatus laboral del trabajador.

Y para rematar la faena, esta misma semana, el Ministerio británico de Defensa ha confirmado el robo de un ordenador portátil perteneciente a un oficial que contenía datos de 600.000 personas, incluidos sus números de pasaporte o de la seguridad social.

¿Estaría el disco duro de ese ordenador cifrado?.¿Por qué tenían esos datos en un portátil y no en un servidor?.


Asier Marruedo
S21sec labs

¿Qué ocurre realmente tras nuestros sitios web?

Las aplicaciones web construidas actualmente integran múltiples tecnologías,
lo que implica presumiblemente falta de cohesión en cuanto a la seguridad.
Es muy difícil desarrollar una aplicación web razonablemente segura e imposible hacerlo totalmente segura, pero existen tecnologías que nos
pueden ayudar a prevenir riesgos.

Situémonos ante un servicio web que exponemos públicamente.
No importa la seguridad de tu firewall, el diseño de tu red, la paranoia de
tu sistema de detección de intrusos, ni el cifrado de tus datos.
Si hospedas una página web deberás permitir el acceso a los puertos 80/443.




Por lo que deberemos pensar en proteger ese "agujero" que debemos tener
abierto inevitablemente para dar servicio web.
La seguridad a nivel de aplicación se ha convertido en el riesgo número uno para las organizaciónes hoy día. ver SANS top 20.

Parece que la historia se repite, hace años, el firewall de red, era la panacea de la seguridad, hoy día no se concibe red o equipo sin firewall. Pero actualmente, este mismo firewall no puede dar respuesta a todos los problemas asociados a la red y a las aplicaciones que en ella se sostienen.
Para mitigar este tipo de riesgos, existe desde hace ya unos años, una tecnología diseñada para proteger los sitios web y aplicaciones vulnerables, con múltiples propósitos más allá del bloqueo de ataques.
Esta tecnología es capaz de prevenir ataques que los firewalls de red no podrían, ni los sistemas de detección de intrusos actuales serían capaces de reconocer. Estamos hablando de lo que se conoce como WAF (Web Application Firewall), ver pila Tcp/Ip.
También la puedes encontrar como "Sistema de detección de intrusos web" o "Monitor de seguridad HTTP".

Para comprender su funcionamiento y despliegue, tendríamos que revisar primero conceptos como reverse proxy o surrogate, pero esto, esta fuera de este artículo.
Existen aplicaciones comerciales y Open Source, no nombraremos ninguna. Nos centraremos únicamente en los aspectos más importantes que poseen, -más allá del bloqueo de ataques- y la información que nos pueden proporcionar sobre que sucede realmente en nuestros sitios web.

Actualmente, ¿cuantas de las siguientes preguntas podríamos contestar?

• ¿Serías capaz de inspeccionar el tráfico SSL de tu sitio web?

• -¿Los logs de tu web contienen toda la información necesaria en caso de auditoría web?. La mayoría de aplicaciones tienen los archivos de log tipo CLF, esos no me sirven.
  

• -¿Podrías identificar defectos de aplicaciones web a través de los logs?, y poder reportarlo así al equipo de desarrollo web.
  

• -¿Y fugas de información?. Números de la seguridad social, tarjetas de crédito..
  

• -¿Y ataques y vulnerabilidades web?

Lo anterior son preguntas que podríamos responder afirmativamente si tuvieramos en nuestro sitio web un Firewall de aplicación. Pero como en todo, demasiada información se puede volver en nuestra contra, por eso, necesitamos sistemas que recopilen, analicen y nos muestren de forma clara que es lo que está ocurriendo "behind the scenes".

Por último, pregúntate a ti mismo: Si hubiera una vulnerabilidad en tu sitio web que está siendo explotada actualmente pero no dispones de ningún sistema para que te avise de ello, ¿cómo vas a detectar que estás siendo atacado? ¿durante cuanto tiempo continuaría el ataque hasta que algún signo externo mostrase que las cosas no funcionan bien?
¿Sabemos realmente lo que ocurre tras nuestros sitios web?, ¿poseen nuestros logs la suficiente información?

Emilio Casbas
S21sec Labs

https: Esa falsa sensación de seguridad

Actualmente la web se utiliza para presentar información de empresas, productos y como plataforma para transacciones de negocios y luego tenemos la denominada web social con todos sus peligros ya conocidos.

Muchas de las reglas básicas de seguridad a la hora de realizar operaciones en Internet, recomiendan que la página web que estemos visitando, empiece por https. Hace tiempo que esta afirmación ya dejo de ser cierta.

HTTPS, es un protocolo que utiliza SSL para transportar los mensajes HTTP, todo entre la comunicación cliente y servidor va cifrado por ello que las viejas técnicas de sniffing ya no nos sirven para estos casos. A medida que avanza el tiempo, la tecnología evoluciona y consecuentemente las amenazas de seguridad tambien. Es por ello, que existen proyectos para explicar y clasificar las diferentes amenazas a la seguridad de los sitios web.

Una de las amenazas descrita en el proyecto de webappsec, es XSS, si bien ya tiene bastantes años, son innumerables los sitios que actualmente son vulnerables a ella, quizá sin percatarse de las posibles consecuencias o ignorándolas arriesgadamente. Existen sitios como xssed que las recopilan diariamente. Pero lo que ha ocurrido recientemente en Italia, tendría que activarnos un resorte de alerta y concienciación.

Phising, XSS, botnets, debilidad inherente al ser humano (parte cliente donde los datos aún están en claro), son ya muchas las amenazas y debilidades lo que hace que simplemente porque una página tenga https:// ya podamos confiar en ella. No ignoremos los peligros que existen a pesar de ello.
Como en aquella famosa canción original de Cole Porter, "Use your mentality,
wake up to reality." Tenemos que adaptarnos a los tiempos actuales con todo lo que ello conlleva, pero al menos que no nos cojan desprevenidos.

Emilio Casbas

S21sec labs

Informe de Criminología Virtual

Hace poco tiempo la compañía McAfee publicó un estudio denominado 'Informe de Criminología Virtual' (Virtual Criminology Report) donde presenta a grandes rasgos los problemas actuales relacionados con los delitos en Internet. Este informe, a diferencia del de 2006, cuenta con la participación de varias personas internacionales, dotando al mismo de un carácter más exacto que el anterior de 2006 (personas como Richard Clayton, Fred Doyle o Eugene Spafford), aunque también se atreven a decir frases como:

“There are signs that intelligence agencies around
the world are constantly probing other governments’
networks looking for strengths and weaknesses and
developing new ways to gather intelligence,”
Peter Sommer, an expert in information systems
and innovation at the London School of Economics."

¿De qué señales habla? Independientemente de que sea verdad o no, frases como la anterior lo único que provocan es una mayor 'desconfianza' entre las agencias de Inteligencia de diferentes países, al igual que el párrafo siguiente:

“Everybody is hacking everybody,” said Johannes
Ullrich, an expert with the SANS Technology Institute,
pointing to Israeli hacks against the United States and
French hacks against European Union partners. But
it is aspects of the Chinese approach that worry him.

Realmente en el aspecto geo-político el informe muestra algunos datos que tendrían que basarse en hechos para no crear ese clima de desconfianza, pero en general el informe presenta una visión bastante exacta sobre la actualidad del crimen en Internet. Pero, ¿qué nos espera en el 2008 según el estudio?

• Países 'paraíso' para los criminales en Internet (algo así como el bullet-proof hosting que ofrecen empresas como RBN (Russian Business Network) pero a nivel de país).
• Los gobiernos meterán presión para proteger a los ciudadanos (aquí es donde realmente hay que hacer espeical hincapié)
• Se aprovecharán los datos de las redes sociales para cometer todo tipo de delitos (hay un paper interesante patrocinado por ENISA llamado 'Security Issues and Recommendations for Online Social Networks')
• Ataques utilizando nuevas tecnologías: P2P, VoIP, ... Movimiento completamente normal, puesto que gracias a términos como BlackBerry, UMTS, iPhone, Wifi, etc casi estamos el 100% de nuestro tiempo conectados utilizando cada tecnología nueva que aparece.
• Perderemos confianza en los servicios online debido a la gran cantidad de riesgos y fraudes que existirán (aún estamos a tiempo de evitarlo)

“Critical in avoiding a run on online
banks will be their public relations
effectiveness in the few hours after
signifi cant and successful attacks are
fi rst publicized. Inept PR combined with
an event that couldn’t be disguised
with victims available to the press
could cause serious problems for an
online bank. UK bank Northern Rock
showed that it is very diffi cult to calm
market panic once it is set in train.”

Totalmente cierto; hoy en día, noticias relacionadas con un ataque corren como la pólvora. Es fundamental disponer de un departamento de Relaciones Públicas que sepa manejar el incidente, informando a los usuarios.

El informe realmente coincide bastante con nuestra visión del crimen existente en Internet, desde aquellos años a finales de los 90 que podríamos considerar la época romántica de los ataques en Internet, hasta actualmente donde la involucración de bandas criminales es tan grande que nos encontramos justo en el momento de decidir si queremos evitar que Internet se convierta en una ciudad sin ley. En palabras del CEO de McAfee:

“Fighting cybercrime is a
24/7 battle, a global battle,
and it is far from over.”
Dave DeWalt, President & CEO, McAfee Inc

David Barroso

S21sec labs

Me sigue dando igual

Ya que mi post anterior no hizo despertar tu conciencia de seguridad voy a hacer un último intento. Puede que incluso lo lograra, pero quizá no lo suficiente: ahora te bajas todas las actualizaciones de Microsoft y tienes cuidado con lo que haces por Internet, pero... pero no te das cuenta de que el problema puede estar más cerca de lo que piensas, en tu casa, a dos metros de ti. La moda ahora es irte al sofá y chatear mientras ves la tele, gracias a los maravillosos routers inalámbricos, pero ¿te has parado a pensar en la seguridad de tu router? ¿has cambiado la configuración por defecto? ¿has cambiado la contraseña desde que te lo instalaron? cada vez es menos habitual, pero hace unos años lo normal es que te dejaran el router sin contraseña, sin siquiera avisarte de ello. Ahora no es muy distinto. Seguramente tendrás en tu casa un cifrado WEP, la instalación por defecto, pero no te avisan de que este sistema se puede saltar en cuestión de minutos o incluso segundos, no te avisan de que la opción ideal sería el uso de WPA2, aparte de filtrado de MACs, ocultación del nombre de tu red (aunque no es demasiado útil), cambio del usuario y contraseña de acceso a tu router...Nadie te avisa y tú no te preocupas.

Teniendo la contraseña de cifrado de tu red inalámbrica ya no sólo podrán ver todos los datos que salen de tu ordenador, sino también los de tus familiares. Quizá a ti no te importe, pero ¿y a tu padre? ¿a tu pareja? ¿a tu hijo? creo que ellos sí que usan diariamente la banca electrónica, y realizan transacciones importantes en internet. Claro que ese tráfico importante conlleva un cifrado propio aparte del de tu red, seguramente a través de SSL, ese candadito del navegador que indica que es seguro. Estamos tan acostumbrados a darle al botón "Aceptar" para la aceptación del certificado digital cuando se entra en una página que usa cifrado que no se van a dar cuenta de que se trata de uno falso, y que el tráfico ha sido rederigido a un clon del portal de sus bancos, que después de recolectar todos sus datos de acceso les llevará al portal real. Seguramente harán un agujero en sus cuentas corrientes, y seguramente, de una forma u otra, acabará afectándote también a ti. ¿Cambiarás entonces el sistema de cifrado de tu red inalámbrica? ¿no sería mejor prevenir que curar?

Otra de las bonitas cosas que podrían hacer sería alistarte en el ejército de zombies de una de las llamadas botnets, concepto explicado a la perfección en el documento Botnets – The Silent Threat de David Barroso. A través de la instalación de un programita "muy malo", usando algunas técnicas como las comentadas en la primera parte de este post, ellos tendrán el control total de tu ordenador, sin darte cuenta, por supuesto. Y no sólo podrán estar registrando todas tus contraseñas, sino que además tu ordenador será usado para cometer delitos informáticos como puede ser el envío masivo de SPAM, la denegación de servicio distribuida (DDoS) a ciertos sitios o sistemas informáticos, etc. De esta forma, ellos se cubren las espaldas, porque el que realmente delinque eres tú.

¿No te vale con todo esto? quizá te moleste más que tu ordenador personal se convierta en el almacén de todo tipo de material ilegal, y estés propiciando y ayudando a los que se lucran con negocios tan bajos como puede ser la pornografía infantil o la pederastia.

Como ves, hay miles de cosas que se pueden hacer con tu ordenador, cosas que van bastante más lejos del robo de tus fotos personales. Todo depende de la imaginación y pericia del atacante. Pero tú cuentas, y se lo puedes poner bastante dificil, sólo tienes que tener un poco de conciencia en este tema, y preocuparte por la seguridad de tu sistema. No hace falta ser un gurú para conseguirlo, basta con tener un poco de sentido común y preocupación por este asunto. Al igual que no dejas la puerta de tu casa abierta de par en par, ni la ventana aun viviendo en un sexto piso, tampoco deberías hacerlo en tu ordenador. Así que esta noche, antes de comer las uvas, acordaos de este post y añadid un punto más a la lista de buenos propósitos;) Feliz 2008!!


José Miguel Esparza
S21sec labs

Operación Bot Roast

La policía de Nueva Zelanda, en colaboración con el F.B.I., ha llevado a cabo hace pocos días la segunda fase de la operación Bot Roast, en la que se ha conseguido detener a uno de los líderes del uso de botnets, a quien se acusa de contar con el control de cerca de un millón de ordenadores.

La operación Bot Roast comenzó de manera oficial el pasado junio en Estados Unidos con la detención de tres personas, en Seattle y Arlington, acusadas en alguno de los casos de infectar los ordenadores de varios hospitales de Chicago, además de infectar miles de ordenadores en todo el mundo que usaban para generar ataques DDoS, además de mandar millones de correos spam a través de estos ordenadores o de robar identidades y blanqueo de dinero en otros.

La segunda fase de la operación ha llevado a los investigadores hasta Nueva Zelanda. La policía del país, junto con el servicio secreto de los Estados Unidos y el F.B.I. ha descubierto la trama dirigida por uno de los cabecillas detenidos, que en la red se hace llamar Akill.

Akill es un chico de 18 años que habría infectado, según estimaciones, cerca del millón de ordenadores en todo el mundo, con intención de usarlos como arma para actividades ilegales, principalmente ataques DDoS, y haber obtenido unos beneficios ilegales de cerca de 25 millones de dolares. En total han sido detenidas 8 personas desde junio en dicha operación, todos relacionados con el uso de botnets. Las investigaciones continúan abiertas.

Las autoridades estadounidenses han advertido a los usuarios que protejan sus ordenadores, aunque la eterna pregunta es si son los usuarios los responsables de proteger sus ordenadores, o es tarea de los vendedores de software el hacer sus programas y sistemas operativos más robustos para evitar este tipo de problemas. La gran mayoría de estos usuarios ni siquiera saben que su ordenador está siendo usado para realizar actividades maliciosas.

Sin embargo, a pesar de la cantidad de ordenadores infectados, estas detenciones no deben ser consideradas como el fin de los correos spam. Se ha conseguido detener una pequeña parte, pero queda mucho por hacer. Aunque los datos existentes ofrecen para nosotros un número de ordenadores infectados un poco exagerado, ¿cuántos de esos ordenadores pertenecen a usuarios españoles?

Miguel López-Negrete
S21sec labs

Los usuarios de Mac OS X en el punto de mira

Los usuarios de Mac siempre han defendido que el software de Apple es menos vulnerable frente a ataques que los productos creados por Microsoft. Pero, esto solo es cuestión de tiempo, hasta que los creadores de malware concentren sus esfuerzos en atacar a los usuarios de plataformas Mac.

De acuerdo con un estudio reciente de McFee, los usuarios del sistema operativo Mac OS X se encuentran bajo amenaza. La familia de malware Puper, recientemente ha sido modificada en una nueva variante orientada específicamente a usuarios de Mac OS X.

La versiones Apple de Puper están siendo distribuidas a través de programas de descarga de codecs (principalmente desde páginas de grupos de música de MySpace, previamente atacadas por hackers). Cuando un sitio que contiene el codec Puper es visitado por un mac, un pop up nos ofrece la descarga de un fichero con extensión .DMG (y no .EXE, como ocurriría en Windows).
Dependiendo de la configuración del explorador de internet, la instalación de una aplicación llamada "MacCodec" comienza automáticamente. Así, mientras este programa está funcionando, crea un script diseñado para lanzar un proceso que cambia nuestro DNS a un servidor predeterminado. A partir de este momento, el usuario de Mac es vulnerable a ataques de "phising", o a más código malicioso, entre otras cosas.



Asier Marruedo
S21sec labs

Hágase phisher en 40 segundos

Desde hace ya bastante tiempo nos hemos ido encontrando con 'kits de phishing' en los que un usuario no necesita tener casi ningún conocimiento técnico para crear páginas intentando engañar a los usuarios. Casi siempre, estos kits o bien son una mezcla de scripts que realizan su trabajo, o son aplicaciones para Windows que facilitan su uso.

Hace unos meses nos encontramos una aplicación desarrollada en Visual Basic que entra en esta categoría de herramientas. Lo que más nos sorprendió es que es una aplicación desarrollada por una persona en teoría sin ningún tipo de interés oculto.

Está claro que cada uno es libre de desarrollar las herramientas que desee mientra su uso no sea ilegal (recordemos la situación que existe en Alemania), pero, hasta que punto podemos considerar ético desarrollar una herramienta que permite 'ser un phisher en 40 segundos'? Así es como la herramienta se define.

Siempre existirán partidarios de uno u otro bando, defendiendo o atacando la existencia de este tipo de herramientas (y aunque creo que son categorías distintas, podríamos entonces meter en el mismo saco todas las herramientas como nmap, nessus, metasploit, yersinia (ole), etc...) Pero hay una diferencia: cualquier herramienta con esta dualidad del bien y el mal puede ser usada para hacer el bien (y el mal!). Un caso práctico es que nosotros utilizamos en nuestros proyectos multitud de este tipo de herramientas en su sentido más benigno (o al menos, es lo que pretendemos).

Pero, ¿para qué se puede usar un 'kit de phishing' para algo positivo? El autor se escuda diciendo que puede servir para aumentar el grado de concienciación de los usuarios de una página. ¿Es una excusa válida? Puede que sí. ¿Se usará para fines maliciosos? Estamos seguros que sí. Entonces, ¿qué podemos hacer? Protegernos ante este tipo de ataques y contar con los recursos necesarios para la prevención, detección y cualquier acción reactiva ante ellos.

David Barroso

S21sec labs

"Comprando" contraseñas de correo, un ejemplo real.

Hoy día existen ciertas páginas que ofrecen servicios de robo de contraseñas de correo electrónico para todo tipo de cuentas conocidas (gmail, yahoo, hotmail...) mediante un módico precio de unos 200$.
Por supuesto, estas páginas tienen fondo negro, muchas calaveras, y la palabra hackers por todos lados, todo una señal de seriedad y confianza ;) Como no cabe esperar otra cosa, estas páginas utilizan el engaño para la obtención de contraseñas.

Pongamos que un sujeto A quiere obtener la contraseña del usuario B en una cuenta de gmail:

Una vez que A realiza el pedido de "hackeo" de contraseña en la web, los estafadores proceden a enviar un correo a B, haciéndole creer que debe verificiar la cuenta:

Por supuesto, el enlace hace referencia a una página que no es de gmail, pero a simple vista puede parecerlo:

Se puede ver que en la barra de direcciones ya no estamos sobre el dominio de google, y viendo el código fuente de la página podemos observar como accedemos a otro servidor, más que sospechoso:

http://XXX.XXX.XXX.XXX/~xxxxxx/gmail-google-com/XDJHBVWKSFH BWIYCBHJ/IllIlIIIllIlll8OEHF83Y4F//?slogin=xxxxxxxx@gmail.com& service=mail&sid=a-434bbce2f5-2f554ce0e3-28ba906a72-734dd7fd j34-234kdf83j2

Y más concretamente vemos que el formulario se envía a:

Finalmente, cabe decir que detrás de esto tan solo hay una cuenta registrada en un hosting gratuito con un script en php que envía la información al correo del "hacker", que se encargará de hacérsela llegar a A a cambio del dinero acordado.

¡Qué sencillo es engañar!

Como curiosidad, comentar que el proyecto del script que se utiliza en este caso (aFormMail) ha tenido que ser cerrado por el uso indebido del script. Una pena.

Mikel Gastesi
S21sec Labs

Desde la reunión del APWG

Hoy ha empezado la reunión anual del Antiphishing Working Group (APWG), que esta vez tiene lugar en Pittsburgh (Pennsylvania), muy cerca de la Universidad de Carnegie Mellon, donde se encuentra uno de los principales CERT mundiales. 

Durante esta reunión, que durará varios días, se comentan tanto las estadísticas de los casos relacionados con el fraude online, como se presentan diversos proyectos que tienen como objetivo la mitigación de los mismos.

Aún cuando la mayoría de los asistentes son de EEUU (tanto fuerzas del orden como bancos o empresas relacionadas), cada vez se ve más gente de otros continentes, sobre todo de Europa o Asia, lo que permite tener una visión más global del problema del fraude online gracias a aportaciones, por ejemplo, de compañeros provenientes de Japón, Brasil, Australia, Gran Bretaña, España u Holanda (entre otros). 

Por lo que estamos viendo, la realidad de los otros países es parecida a la que S21sec está viendo tanto en España como en otros países, y todos coinciden que es fundamental una estrecha relación entre las tres partes integrantes de lo que denomino, 'la tupla del fraude': fuerzas del orden, entidades financieras, y empresas tecnológicas/CERTs.

También está claro que España es uno de los países más atacados respecto al fraude online, y aunque tenemos una visión bastante completa y global de todos los actores involucrados en este escenario, esperamos obtener alguna pieza más del puzzle en Pittsburgh.