Imagen, Video y Rock 'n' Roll

Actualmente podemos usar técnicas esteganográficas para ocultar datos nuestros dentro de multitud de archivos, siendo los más usados los archivos de imágenes. Existen muchas aplicaciones para hacerlo, una breve busqueda en vuestro buscador favorito os mostrará las más usadas. Se usan básicamente dos métodos:

• Ocultar la información como una parte del archivo
• Ocultar la información dentro de los datos del propio archivo

El primero es el más simple y se basa en que los formatos de archivo de imágen, vídeo y sonido contienen además de la imagen, vídeo y sonido; "tags" o metadatos adicionales como la aplicación que los creó, autor, subtítulos, letra de la canción, y un largo etc... Estos "tags" no son necesarios normalmente para poder ver y/u oir correctamente el contenido pero sí nos permiten meter cualquier información que queramos, por ejemplo la nuestra. El incremento en el tamaño del archivo es igual al de los datos

El segundo ya es más complejo, y se basa en mezclar los datos de imagen, vídeo y/o audio con los nuestros. El archivo final pierde calidad si se sustituyen los datos del portador por los de los datos a ocultar, o gana en tamaño si se añaden. Éstos es lo que hacen la mayor parte, si no todas, las aplicaciones de esteganografía.

Seguro que ya estais pensado en las posibilidades de esta técnica para "hacer el mal". Lamentablemente para los que lo hayais pensado os diré que existen tantas técnicas para detectar que existe información escondida que actualmente da igual que escondáis ahí información. Si se está buscando, se encuentra, o al menos se detecta, y en muchos casos, se lee.

Eduardo Morrás
S21sec labs

Donde los scanners de vulnerabilidades no llegan - VI

Aplicaciones propietarias o poco conocidas

La mayoría de los scanners se basan en bases de datos de vulnerabilidades predefinidas y donde habitualmente solo se cataloga el software utilizado de forma mayoritaria. Si analizamos un software propietario o poco común, el scanner no tiene patrones para trabajar.

Cuando un scanner encuentra un software o una aplicación que no conoce, simplemente se limita a ignorarlo. Esto hace que queden huecos bastantes importantes en la valoración del riesgo que realiza.

Como hemos comentado, hay scanners específicos para aplicaciones Web que intentan cubrir esta deficiencia, teniendo en cuenta que una gran parte de las aplicaciones Web existentes son de desarrollo propietario. Pero no existe el equivalente en el resto de servicios.

http://en.wikipedia.org/wiki/Web_Application_Security_Scanner

Esta limitación es similar a las de otro tipo de herramientas de seguridad basadas en patrones, por ejemplo los Antivirus. Si no existe una labor constante y exhaustiva de mejora y actualización de los patrones de detección el scanner se hace inútil.

Ramón Pinuaga
Departamento de Auditoría

Firewalls: ¿La seguridad del pasado?

A raíz de un hilo generado en varias listas de correo especializadas como FW y WebSecurity, títulado, "Provocative Query: Are firewalls obsolete in a world involving enterprise WebService SOA" se generó una interesante discusión acerca del papel de los firewall de red de toda la vida (capa 3 de OSI) en un mundo de aplicaciones web (capa 7 de OSI).
Algo así como, "qué hace un dispositivo como tú en un entorno como este".

Salieron argumentos a favor y en contra, con razones de peso en algunos casos, ligerezas en otros, y obviedades. Lo interesante fue el debate que se generó, merece la pena resaltar algunas de las afirmaciones que se vieron reflejadas:

• Si todo se diseña con buenas prácticas de seguridad en mente, no hay necesidad de firewalls. (Vivir sin Firewalls.)
• Un firewall de red es redundante si tienes control completo sobre los hosts de la red.
• Son vulnerables al encapsulamiento de protocolos a través de los puertos 80 y 443.
• Los firewalls seguirán siendo útiles mientras haya gente que comprende algo sobre la seguridad.
• El perimetro de seguridad ya no existe tal y como nos habían contado antes. Los negocios tecnológicos actuales nos llevan a eliminar esas barreras en favor de la productividad y usabilidad (con un cierto sentido común).
• Nadie ha demostrado un valor significativo de un firewall que no puedas conseguir a través de tu host o software.
  
• ¿No te pondrías el cinturón de seguridad porque tu coche ya tiene airbag?. El Firewall de red y el de aplicación no son dispositivos suplementarios, son complementarios y un ejemplo claro de seguridad en capas.
• Un WAF implementado apropiadamente junto con unas sanas prácticas de programación son la mejor defensa en la capa de aplicación.
  

También se lanzó una llamada a los vendedores de WAFs para que ocupen el hueco que actualmente existe en el mercado frente a los nuevas amenazas y desafíos de la capa de aplicación. A modo de conclusión, podemos pensar en adaptarnos a los cambios de los nuevos entornos de riesgo. Mostrar una predisposición activa. Nuestro objetivo debiera ser actuar proactivamente y no reactivamente. No temamos esa curva de aprendizaje que supone adaptarse a lo nuevo y evitemos mantenernos ciegos a nuestro entorno con lo que siempre ha funcionado hasta ahora. Y vosotros, ¿qué opinais de los firewall de red en el mundo web?

Emilio Casbas
S21sec labs

Metodología de análisis de riesgos para abordar una certificación ISO/IEC 27001

El proceso de certificación de un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001 requiere la elaboración de un Análisis de Riesgos como medio de diseñar el Plan de Gestión de Riesgos del sistema, e identificar la aplicabilidad de los controles a implantar en una organización.

Por el momento la familia de las 27001 no nos ha dotado de un método para la elaboración del análisis de riesgos, dicho método será la futura ISO/IEC 27005 de la que por el momento solamente tenemos un draft mientras que el estándar será publicado previsiblemente en 2009.

Debido a la ausencia de metodología propia para la certificación ISO/IEC 27001 nos encontramos con la duda de qué metodología emplear, debido a sus diferentes funcionalidades, a las herramientas en las que se soporta, a los estándares y normativas a las que da conformidad, la metodología idónea parece ser MAGERIT II.

Objetivos de MAGERIT II

MAGERIT; persigue los siguientes objetivos:

1. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo
2. Ofrecer un método sistemático para analizar tales riesgos
3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
4. Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

¿Porque MAGERIT II?

El análisis de riesgos propuesto por MAGERIT II es una aproximación metódica que permite determinar el riesgo siguiendo unos pasos:

• Determinar los activos relevantes para la Organización
• Determinar a que amenazas están expuestos aquellos activos
• Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
• Valorar dichos activos en función del coste que supondría para la Organización recuperarse ante un problema de disponibilidad, integridad, confidencialidad o autenticidad
• Valorar las amenazas potenciales.
• Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectación de materialización) de la amenaza.

El método propuesto por MAGERIT II da cumplimiento en lo establecido en la ISO 13335, en el epígrafe 4.2.1.d Identificar Riesgos, 4.2.1.e Analizar y evaluar riesgos de la ISO /IEC 27001:2005 , y además garantiza conformidad respecto los estándares:

• ISO/IEC 27001 / 2005 “Sistemas de Gestión de Seguridad de la Información”
• ISO/IEC 15408 / 2005 “Criterios de Evaluación de Seguridad de la Información”
• ISO/IEC 17799 / 2005 “ Manual de Buenas Prácticas de Gestión de Seguridad de la Información”
• ISO/IEC 13335 / 2004 “Guía para la Gestión de Seguridad TI”

Comparativa con otras metodologías de análisis de riesgos:


http://www.enisa.europa.eu/rmra/rm_ra_tools.html

En la comparativa de las diferentes metodologías y herramientas de análisis de riesgos se puede concluir que MAGERIT II es el método ideal por las siguientes razones:

1. Por estar impulsado por el Consejo Superior de Administración Electrónica.
2. Por ser un método desarrollado en su integridad en castellano.
3. Por tener la herramienta de gestión de Análisis de Riesgos EAR/PILAR mantenida y actualizada
   
4. Por dar conformidad a los estándares internacionales y a la normativa de protección de datos.
5. Por dar conformidad a la ISO/IEC 27002:2005
6. Por contar con el perfil para dar conformidad al RD 1720/2007 de desarrollo del Art. 9 de la Ley Orgánica de Protección de Datos 15/1999, en versión beta
   
7. Por su próxima incorporación de los perfiles Sarbanes Oxley y a Cobit 4.1

David Imizcoz Etxeberria
Manager de Consultoría S21sec

TrueCrypt 5.0 is out

After a long 9 months wait, TrueCrypt 5.0 was released yesterday. This major version upgrade (up from 4.3a) is mainly justified by the inclusion of a new feature which allows an entire system drive or partition helding a Windows OS (XP/2003/Vista) to be encrypted with a pre-boot authentication interface, as most commercial full disk encryption software do. But there are other important improvements in this new version, like the new GNU/Linux GUI (older versions only had a command line interface and third party front-ends) and the MacOS X port. How many multi-OS FDE tools are out there? Not many I guess.

I would like to introduce anyone who didn't know about this open source software. TrueCrypt is a tool which can easily encrypt hard drive, flash (USB, memory cards...) and other storage media. It was programmed with Windows in mind, and it's not focused on being a commercial FDE software competition. These products shine on their own thanks to their centralized administration console to control many computers, and their data rescue tools for recovering encrypted files which password was lost or data from an employee who left the company.

There are two main operational modes: file container based and partition/drive based. There is no recommended mode, as it depends on the storage media where encrypted data is being saved. File based containers are ideal if mobility is the main concern (it is a simple file at all which can be copied, moved...), whereas drive/partition containers have an important speed edge. The final decision has to be made having in mind the main use of the encrypted data.

This storage space can be encrypted using three different symmetric key algorithms (AES, Serpent or Twofish) or a combination of those two/three with a cascade. These algorithms are patent free so they should be unsuspicious of having some extra backdoor code (paranoid people can look through TrueCrypt source code and compile it instead of using precompiled binaries). TrueCrypt maps decrypted data on a drive letter or a mountable mapper device (depending on the OS).

There are other interesting features that I would like share with you. Hidden volumes are useful to protect data within an inner container which is decrypted using a different password than the normal contanier. This is useful in case of a coercion scenario. Last but not least, you can complement the encryption password by using a second authentication factor, a keyfile. This keyfile provides the encrypted data owner with an additional security layer (something you have in addition to something you know), making keyloggers useless for intruders. If you decide to use keyfiles, it's extremely important to have it properly stored in a removable memory device and kept away from the computer where the data is, when not in use.

I highly recommend our readers to have a look at this fine software that will protect our most sensitive data from undesired eyes. It can be intimidating at first due to the high amount of advanced options available, but it isn't necessary to learn them all. Most important features are quickly learnt thanks to its complete tutorial and documentation.

Álvaro Ramón
S21sec labs

¿Qué ocurre realmente tras nuestros sitios web?

Las aplicaciones web construidas actualmente integran múltiples tecnologías,
lo que implica presumiblemente falta de cohesión en cuanto a la seguridad.
Es muy difícil desarrollar una aplicación web razonablemente segura e imposible hacerlo totalmente segura, pero existen tecnologías que nos
pueden ayudar a prevenir riesgos.

Situémonos ante un servicio web que exponemos públicamente.
No importa la seguridad de tu firewall, el diseño de tu red, la paranoia de
tu sistema de detección de intrusos, ni el cifrado de tus datos.
Si hospedas una página web deberás permitir el acceso a los puertos 80/443.




Por lo que deberemos pensar en proteger ese "agujero" que debemos tener
abierto inevitablemente para dar servicio web.
La seguridad a nivel de aplicación se ha convertido en el riesgo número uno para las organizaciónes hoy día. ver SANS top 20.

Parece que la historia se repite, hace años, el firewall de red, era la panacea de la seguridad, hoy día no se concibe red o equipo sin firewall. Pero actualmente, este mismo firewall no puede dar respuesta a todos los problemas asociados a la red y a las aplicaciones que en ella se sostienen.
Para mitigar este tipo de riesgos, existe desde hace ya unos años, una tecnología diseñada para proteger los sitios web y aplicaciones vulnerables, con múltiples propósitos más allá del bloqueo de ataques.
Esta tecnología es capaz de prevenir ataques que los firewalls de red no podrían, ni los sistemas de detección de intrusos actuales serían capaces de reconocer. Estamos hablando de lo que se conoce como WAF (Web Application Firewall), ver pila Tcp/Ip.
También la puedes encontrar como "Sistema de detección de intrusos web" o "Monitor de seguridad HTTP".

Para comprender su funcionamiento y despliegue, tendríamos que revisar primero conceptos como reverse proxy o surrogate, pero esto, esta fuera de este artículo.
Existen aplicaciones comerciales y Open Source, no nombraremos ninguna. Nos centraremos únicamente en los aspectos más importantes que poseen, -más allá del bloqueo de ataques- y la información que nos pueden proporcionar sobre que sucede realmente en nuestros sitios web.

Actualmente, ¿cuantas de las siguientes preguntas podríamos contestar?

• ¿Serías capaz de inspeccionar el tráfico SSL de tu sitio web?

• -¿Los logs de tu web contienen toda la información necesaria en caso de auditoría web?. La mayoría de aplicaciones tienen los archivos de log tipo CLF, esos no me sirven.
  

• -¿Podrías identificar defectos de aplicaciones web a través de los logs?, y poder reportarlo así al equipo de desarrollo web.
  

• -¿Y fugas de información?. Números de la seguridad social, tarjetas de crédito..
  

• -¿Y ataques y vulnerabilidades web?

Lo anterior son preguntas que podríamos responder afirmativamente si tuvieramos en nuestro sitio web un Firewall de aplicación. Pero como en todo, demasiada información se puede volver en nuestra contra, por eso, necesitamos sistemas que recopilen, analicen y nos muestren de forma clara que es lo que está ocurriendo "behind the scenes".

Por último, pregúntate a ti mismo: Si hubiera una vulnerabilidad en tu sitio web que está siendo explotada actualmente pero no dispones de ningún sistema para que te avise de ello, ¿cómo vas a detectar que estás siendo atacado? ¿durante cuanto tiempo continuaría el ataque hasta que algún signo externo mostrase que las cosas no funcionan bien?
¿Sabemos realmente lo que ocurre tras nuestros sitios web?, ¿poseen nuestros logs la suficiente información?

Emilio Casbas
S21sec Labs

Emerging Threats

Hace un mes aproximadamente, Matt Jonkman, de Bleeding Threats cerraba su página despues de estar durante más de cinco años manteniendo un conjunto de reglas "alternativo" para el IDS Snort (Bleeding Snort). Estas reglas se caracterizaban principalmente por estar más actualizadas y era cuestión de horas el disponer de, por ejemplo, la detección de un exploit remoto que acababa de publicarse.

También eran muy interesantes las reglas que tenía relacionadas con el malware, principalmente de conexión de los ordenadores infectados con su C&C ("calling home!"), que permitian a los administradores detectar algunos ordenadores infectados en sus redes.

Pero como la conocida marca de turrones, todo lo bueno vuelve por Navidad. Matt acaba de confirmar que su proyecto sigue en pie, con un nuevo nombre, Emerging Threats. Así que podemos seguir contando con reglas tan interesantes como el tráfico de la ya extinta Russian Business Network, o conexiones a C&C conocidos.

¡Felices Fiestas!

David Barroso

S21sec labs

CEE: Common Event Expression

Desde ya hace varios meses, existe una iniciativa desde MITRE para intentar crear un estándar sobre el formato de los eventos generados por los diferentes dispositivos y aplicaciones. S21sec lleva ya años en el mercado de la gestión de eventos gracias a su producto Bitácora y en todo este tiempo nos hemos encontrado con todo tipo de formato de eventos (logs). En sí, este hecho no es problema puesto que en Bitácora es relativamente sencillo añadir cualquier formato de eventos en un tiempo mínimo, puesto que su flexibilidad nos permite crear un documento XML donde se especifica el nuevo formato y de esta forma solucionamos el problema rápidamente.

Pero también es verdad que para poder utilizar la información presente en los eventos de una forma más eficiente (y más inteligente), es necesario que todas las aplicaciones y dispositivos hablen el mismo lenguaje, porque ahora mismo la situación actual podría ser comparada a la Torre de Babel.

Esta iniciativa de MITRE, respaldada por todos los grandes fabricantes de productos de gestión de eventos (incluido S21sec) pretende crear un lenguaje único para intentar evitar todos los problemas con los que nos enfrentamos actualmente.

Así que, si os interesa esta iniciativa, todavía podéis participar en la lista de correo de MITRE habilitada a tal efecto. ¡Nos vemos en la lista de correo!

Más información en el folleto que saldrá próximamente por parte de MITRE.

HosProxy: Túneles y encapsulamientos

Todos sabemos el esfuerzo que realizan las empresas para proteger sus redes de los ataques exteriores; una de las medidas comunes y básicas es la instalación de un cortafuegos, el cuál sólo permitirá el acceso a los servicios seleccionados por la empresa.

Pero lo que muchas veces no vemos es el esfuerzo de las empresas para no permitir el tráfico saliente de sus redes. Hace poco nos encontramos en una red que no tenía conexión a Internet salvo por el correo electrónico. Era el único servicio permitido para los usuarios de la red. A raíz de esto surgió un desafío, navegar por Internet utilizando un navegador a través del sistema de correo.

A partir de esta necesidad se creó HosProxy, una herramienta desarrollada por Carlos del Ojo, del Departamento de Auditoría, que permite navegar por Internet utilizando de transporte el sistema de correo SMTP/POP3/IMAP.

La herramienta consta de un proxy que se instala en el ordenador del usuario dentro de la empresa, se configura para que envíe correos por la cuenta de SMTP de la empresa y que reciba por la cuenta POP3/IMAP de la empresa. La otra parte de la herramienta es hosTunnel, un servicio que corre en una máquina externa (Internet), la cual escucha por el puerto 25 (SMTP), y recibe los correos con las peticiones HTTP encapsuladas; entonces realiza las peticiones HTTP a las páginas solicitadas y crea un correo de respuesta con la página web encapsulada, el cual se envía a la cuenta POP3/IMAP del usuario.



El proxy estará continuamente consultando la cuenta POP3/IMAP para obtener los correos con las respuestas, las cuales desencapsulará y finalmente presentará la página web en el navegador. Obviamente este proceso tiene una penalización de rendimiento, pero esto no es lo que perseguíamos, sino poder navegar por internet a través del sistema de correo.

Una vez más demostramos que siempre hay maneras de saltarse los sistemas de seguridad y/o protecciones, lo que hace falta es motivación, tiempo y dedicación.

Descarga: HosProxy

Metagoofil: Herramienta para obtener información de documentos públicos

Hoy en día cuando realizamos los test de intrusion, encontramos que los servicios que hay accesibles de cara a Internet son muy pocos, y todos ellos requieren autenticación.

Por lo tanto una tarea importante es encontrar u obtener una lista de usuarios válidos en esos sistemas, para poder realizar ataques de fuerza bruta sobre los servicios disponibles (FTP,
VPN, Aplicaciones Web, POP3).

Esta tarea no siempre es fácil, y es por ello que Christian Martorella del departamento de Auditorias ha creado diversas herramientas para ayudar en esta etapa; en esta ocasión
hablaremos de Metagoofil.

Metagoofil es una herramienta que se encarga de extraer Meta-Data (Datos sobre los Datos), de ciertos ficheros accesibles en los websites de nuestro "objetivo".
Los ficheros que utiliza son los clásicos utilizados en ofimática PDF,PPT,DOC,XLS y MDB; del Meta-Data obtenido nos interesa sólo ciertos campos como pueden ser:

• "Author"
  
• "Last Saved by"

¿Por qué estos campos? Porque en estos campos se almacena el nombre de usuario de la máquina o con el cual se registró la suite ofimática. Estos nombres de usuarios pueden coincidir con nombres de usuarios del dominio Windows, o con la nomenclatura común utilizada por la compañia para sus diversos sistemas.

Una vez obtenidos estos nombres, es cuestión de generar un diccionario de posibles nombres de usuarios, alimentar nuestra herramienta preferida de fuerza bruta y esperar que haya suerte.

La manera de operar de la herramienta se basa en realizar busquedas en Google (Google-Hacking) dentro del dominio del objetivo, y sólo de los ficheros con los formatos comentados anteriormente.
Una vez identificados los ficheros, se bajan de la web a nuestra máquina donde Metagoofil, extraerá la información interesante, y por último se generará un HTML con los
resultados.

De esta forma tenemos una fuente más de donde extraer usuarios potenciales de los sistemas objetivos, y otro punto más que proteger por parte de los responsables de seguridad.

Descarga: metagoofil-1.2.tar