Security Art Work

Cuando leemos prácticamente cualquier libro de seguridad de las comunicaciones, aparece catalogado como ataque de denegación de servicio (DoS) el conocido como SYN flood. Este ataque se basa en el esquema de funcionamiento del protocolo a tres vías usado para establecer conexiones TCP. Sin entrar en los detalles del funcionamiento del protocolo, podemos resumir el propio ataque como una solicitud de conexión (SYN) por parte del cliente (posiblemente spoofeado), contestada por el servidor (SYN/ACK), pero sin confirmación de la respuesta por parte del propio cliente (ACK). Esta situación hace que el servidor mantenga una serie de conexiones abiertas en la cola Backlog (consumiendo recursos), pudiendo llegar a impedir nuevas conexiones legítimas al sistema hasta que las conexiones sean finalizadas o venza el timeout asociado.

En esta entrada vamos a hablar de una medida de contención para este ataque proporcionada por Check Point llamada SYNDefender.

SYNDefender es una característica de SmartDefense (herramienta de protección ante ataques) que nos ayuda a protegernos de ataques TCP SYN flood basada en la interceptación de los paquetes SYN, que media en los intentos de conexión antes de que éstos puedan alcanzar el sistema final, siendo posible configurar la funcionalidad de forma global o por gateway. SYNDefender tiene dos modos de funcionamiento principales: el modo relay y el modo SYN Cookie.

En el modo relay, nos aseguramos que la conexión TCP es completa antes de enviarla al sistema final; el gateway intercepta el paquete SYN destinado al servidor no dejándolo llegar a su destino, sino que por el contrario, envía un paquete SYN/ACK al cliente, activando un temporizador de reset. Si el cliente envía el ACK y completa de esta forma la conexión, el propio gateway inicia el establecimiento de conexión hacia el servidor (traduciendo números de secuencia), y una vez completada, comienza el flujo de datos. Si el gateway no recibe el paquete ACK por parte del cliente antes de que el temporizador finalice o recibe un paquete RESET (cuando no era lo que esperaba), finaliza la conexión inmediatamente.

En el modo cookie, cuando el cliente envía un paquete SYN al servidor, el gateway intercepta el paquete y le contesta un SYN/ACK con cookie. Después de recibir el paquete ACK por parte del cliente, el cual completa el establecimiento de la conexión, SYNDefender transforma el paquete ACK en un paquete SYN, registra la conexión en la tabla de conexiones, y la envía hacia el servidor, procesándose de la misma manera que en el modo relay.

Aparte de estos dos, en Check Point existen otros modos de funcionamiento, los cuales están soportados en otras versiones de la plataforma, como son el modo Gateway o Passive SYN Gateway.

Como acabamos de ver, y como nos indicaban en los comentarios hace unos días sobre los números de secuencias TCP los fabricantes de sistemas cortafuegos cada vez más implementan soluciones para detectar y filtrar patrones de ataque conocidos, desviaciones de los protocolos de red, etc, dotando a sus sistemas de mecanismos inteligentes y proactivos, los cuales nos permiten analizar el tráfico en las capas superiores de la pila OSI para poder detectar actividad sospechosa. En futuras entradas seguiremos informando de estas y otras tecnologías que sirven para hacer a las empresas más seguras y darnos a los administradores de red más quebraderos de cabeza ;)

Cuando se habla de sostenibilidad parece que todos estamos de acuerdo en que el desarrollo de la Sociedad de la Información es la opción más adecuada para conseguir una economía productiva, competitiva y eficaz, por la vía del aumento de la productividad y la integración de la innovación como motor de la empresa. Todos damos por sentado que estos factores son necesarios para garantizar la sociedad del bienestar y por tanto la calidad de vida de los ciudadanos de los países desarrollados.

El propio desarrollo de la Sociedad de la Información debe ser sostenible en sí mismo para, a través suyo, poder garantizar la sostenibilidad de la sociedad en uso conjunto.

¿Cómo podemos definir una Sociedad de la Información sostenible? Teniendo en cuenta que:

• Debe estar disponible
• Debe ser confiable
• Debe ser segura
• Debe ser ubicua
• Debe ser cómoda y accesible
• Debe ser asequible
• Debe regularse

Lo que no tiene sentido es que malhechores y sinvergüenzas de todo tipo campen a sus anchas por “La Sociedad de la Información”, nuestra sociedad virtual, haciendo el mal a diestro y siniestro. Tenemos que aprender a protegernos virtualmente, tenemos que proteger nuestros bienes virtuales, tenemos que desarrollar leyes y equipos profesionales especializados en garantizar un uso seguro de los servicios de la era de las comunicaciones. Necesitamos trabajar mucho para ello. Los profesionales, diseñando servicios que cumplan los principios anteriores. Los gobiernos, legislando para que la justicia pueda hacer su trabajo. Jueces y abogados, formándose para no quedarse boquiabiertos cuando presentamos ante sus narices un delito en la red y los ciudadanos preparándose para entender cómo funcionan sus nuevas vías de comunicación y para poder hacer frente a los granujas de la red que, hoy por hoy, disfrutan del anonimato que les proporciona su propia cobardía.

Nosotros, desde nuestro rincón en el mundo, estamos trabajando para crear una sociedad que entre de pleno derecho y sin miedo en la Sociedad de la Información, en la sociedad de las redes sociales en la sociedad más libre y democrática que puede existir. Desde estas líneas queremos anunciar nuestro compromiso continuado con una Sociedad Sostenible y Segura (Compromiso S2: Sostenibilidad y Seguridad), porque no entendemos una sociedad sostenible en la que la seguridad no esté presente en todas sus dimensiones.

Este compromiso los estamos materializando en proyectos de Responsabilidad Corporativa, de los que daremos cumplida información en cuanto nos sea posible, y en líneas de I+D+i para el desarrollo de nuevos servicios y productos.

Si alguno de nuestros lectores tiene alguna sugerencia en esta línea estaremos encantados de escucharla y, si es el caso, estudiarla.

Hace ya varios años, cuando aún estaba estudiando en la facultad, me surgió la oportunidad de ejercer de moderador en una “asignatura” sobre las Ingenierías (y más concretamente, la informática) en el cine. Cada sesión se componía de dos partes: el visionado de una película y un debate posterior. Lo primero que tuve que hacer fue “documentarme” un poquillo, para decidir que películas podían ser interesantes, y que se podía sacar de ellas.

Esta claro que hoy en día no hace falta ver una película que hable de informática para ver el uso de ordenadores en ella, y se podría perdonar la falta de rigurosidad que estas pudieran tener. Lo triste es ver que en las películas en las que la informática forma parte de la trama principal, es las en las que más barbaridades se llegan a ver.

Realizando dicha labor, me encontré con varios blogs que hablaban de las grandes “pifias” que había cometido la industria cinematográfica con la informática. No recuerdo muy bien todos ellos, pero la mayoría estaba de acuerdo con qué películas habían cometido los mayores errores. Todos los blogs coinciden en que las películas que hablan de los hackers son aquellas que peor reflejan la realidad. Por ejemplo los “hackers” saben usar cualquier sistema operativo que además debe estar en suspensión o algo así, porque normalmente tienen una velocidad de arranque que ya quisiéramos, y son capaces de desproteger cualquier sistema en menos de 5 minutos. Un claro ejemplo de esta situación, llevada al límite de lo absurdo es cuando, en Operación Swordfish (Swordfish, 2001), Stanley (Hugh ‘Lobezno’ Jackman) tiene que demostrar que puede entrar en el ordenador del departamento de defensa americano en apenas un minuto, mientras una chica guapa se propone distraerle de una manera un tanto… original, y John “Vincent Vega” Travolta le apunta con una pistola en la sien. Como una imagen vale más que mil palabras os dejo un enlace al vídeo, juzgar vosotros mismos.

Otra capacidad que tienen los hackers es la de programar a toda velocidad. Lo más común son los virus (debe ser que son fáciles de hacer, hecho uno…). Véase por ejemplo Independence Day (Independence Day, 1996), en la que programan un virus capaz de desarmar los escudos de las naves alienígenas (¿os habéis planteado si usarán los Alien TCP/IP para sus comunicaciones?). No olvidéis tampoco que, si accedéis a www.fbi.org u otro organismo semejante, vais a la sección “secret files” y, con varios intentos accederéis a los datos más secretos del mundo. Aparte de las películas ya mencionadas, otras en las que aparecen “superhackers” son: The Italian Job (The Italian Job, 2003), Hackers (Hackers, 1995), Misión Imposible (Impossible Mission, 1996), Parque Jurásico (Jurassic Park, 1993)…

Una cosa sí hay que envidiar a los productores americanos: su capacidad de diseñar interfaces 3D “super chulas”, con una velocidad que ni Google. Los archivos que necesitas suelen estar escondidos detrás del cubo verde (otra vez Jurassic Park es un buen ejemplo de ello… ¡ah, y es Unix!), y no se puede acceder a ellos con un par de clicks, lo que hay que hacer es “aporrear” el teclado a toda velocidad para parecer que eres un gran informático. Son unos sistemas basados en la estadística: contra cuanto más rápido teclees, más posibilidades tienes de acertar la combinación de teclas necesarias para llegar al archivo. Eso sí, aunque son sistemas con una capacidad de búsqueda tremenda, tienen un punto flaco, y es a la hora de copiar archivos cruciales para resolver una trama de conspiración a nivel mundial, a un USB, un CD o mandarlos por correo. En ese momento la barra de progreso del copiado se vuelve “leeeeeeeeentaaaaaaaaaaaaaaa” dando tiempo así a que el malote aparezca por la puerta, para dar más tensión a la trama. Por nombrar alguna película más, que no deberíais ver ni aunque la vida os fuera en ello, Firewall (Firewall, 2006) dónde tito Harrison “Jones” Ford es un agente de seguridad, capaz de montar un escáner de última generación con la barra lectora de un fax/multifunción y con un iPod mini mediante la entrada de los cascos (llora McGyver), y sin saber como la cosa funciona de lujo, guardando los no se qué montonada de números de cuenta del banco y los almacena en el disco duro del iPod en forma de imágenes. No contento con esto, los pasa por un OCR y ya tenemos los números de cuenta perfectamente registrados en nuestro portátil… prefiero no hacer comentarios sobre esto.

Son numerosas las películas que, bien utilizados o no, usan al fin un programa real y conocido. El Nmap debe de ser el que se lleva la palma en apariciones cinematográficas, tanto, que sus desarrolladores muestran orgullosos en su página sus numerosas apariciones.

Son muchas las películas que probablemente me olvido de mencionar, pero quiero destacar La Jungla 4.0 (Live Free or Die Hard, 2007) (o cómo puedes salvar el mundo América con un teléfono móvil), en la que al final detectan la IP (supuestamente pública, ya que se está accediendo desde Internet) desde la que se está realizando un ataque, y está es del tipo 10.X.X.X, que como saben es de direccionamiento privado.

Probablemente sabréis de más películas que hablen del tema, bien o mal, pero por encima de todas ellas está una de las películas que más me marcó y no se si es la culpable de que me dedique a esto de las maquinitas, pero seguro que algo influyó. Si amigos, estoy hablando de Juegos de Guerra (War Games, 1983), que con sus virtudes y sus defectos, y a pesar de los años, sigue siendo una de las mejores películas que he visto sobre este tema. Es por eso que fue una de las elegidas para una de las sesiones, que me tocó moderar.

En los tiempos que corren, en la era de la digitalización global, Amazon y su kindle, los iPad, iPhones, Androids, Blackberrys y demás cacharritos, tiempos en los que si alguien todavía lleva una agenda en papel le van señalando por la calle como un apestado, nos sorprendemos cuando pasan cosas como ésta.

A veces se han implantado sistemas de gestión de la seguridad de la información corporativa potentes, bien diseñados y coordinados, pero se menosprecian riesgos tan aparentemente tontos como el hecho de que desde el momento en que imprimo una información, dejo de tener control sobre ella. Tómenlo simplemente como una reflexión para el fin de semana.

BotHunter es un sistema de detección de malware a través del tráfico de red creado por Computer Science Laboratory, SRI International. Si uno accede a la página web oficial del proyecto observará la siguiente descripción:

Hemos destacado dos aspectos de la descripción: por un lado que se compara el tráfico contra un modelo abstracto de patrones de comunicación de malware y por otro la afirmación de que es excepcionalmente efectivo. Uno con esta descripción tan sugerente no le queda otra que ver en qué consiste este modelo y qué lo puede hacer tan efectivo. Durante esta entrada vamos a revisar el paper de SRI, donde se comenta la arquitectura, la lógica y diversos componentes de gran interés.

[Read more…]

Hoy toca contar una historia, que por desgracia cada vez es más frecuente. Estaba yo el día uno de noviembre en mi casa, sentado en mi mesa de estudio peleándome con las particiones FAT32 con sus “directory root” y los “longs entry” (a quién se le ocurre empezar por el final), cuando a las cinco de la tarde decidí darme una vuelta por la web, y en concreto por las de noticias, a ver que había ocurrido.

Dentro de las noticias que vi me encontré con una muy interesante que indicaba que había habido un socavón en un estado de Alemania (me pareció curiosa), pero al pinchar sobre esa noticia el no-script me grito, algo bastante raro ya que lo tengo bastante bien configurado. Cuando mire a ver que ocurría me encontré con esto:

Antes de continuar se habrán dado cuenta que tanto he eliminado cualquier referencia de la página web donde ocurrió, como he eliminado el supuesto atacante que lo produzco, por razones muy distintas, un fallo lo puede cometer cualquiera, y el que esté libre de culpa que tire la primera piedra. Por otro lado, me he negado a hacer publicidad de los supuestos atacantes, que no son más que un par de irresponsables, por no emplear calificativos de otro tipo.

Bueno, ya podemos seguir. Al ver el mensaje “alert” lo vi claro, sabía donde estaba el fallo puesto que siempre que visitaba la web veía esa zona y pensaba: “esto es vulnerable sí o sí”. No hubo duda, fui directo a la zonas de comentario en busca del alert, y claramente “one more time” esto era un XSS:

<span class="fechaHora">01.11.2010 - 16.55 h - </span>Dice ser <strong><a 
href="mailto:XXX%3C"><script>alert("Hacked By: XXXXXXXX")</script>@gmail.com"
>XXXX</a></strong> - <span class="ordinal">#1</span>

Por tanto la zona vulnerable era la parte donde se mostraba el nombre del usuario registrado que había publicado el comentario. Lo peligroso de esto, es que, como todo comentario, este es permanente y por tanto el XSS se ejecutaba cada vez que un usuario visitaba la noticia. Como se podrán imaginar el atacante fue aumentado la calidad del ataque, dejando inservible la noticia.

Como ven, esto es lo que tendría que haber en un usuario registrado:

<span class="fechaHora">01.11.2010 - 14.28 h -</span><strong><a href="direccion 
web" onclick="window.open(this.href); return false; ">Nombre usuario</a></strong> - 
<span class="ordinal">#1</span>

A raíz de esto me surgieron varias dudas que quiero compartir con ustedes.

Si como técnico de seguridad detecto que una web es posiblemente vulnerable, ¿debo informar a la web? ¿Si informo me podrían acusar de asaltante? ¿Me harían caso? Antes de contestar piensen: ¿en que web hay un enlace para poder notificar posibles fallos de seguridad detectados?

Otra duda que me surgió fue, ¿porqué si cada vez más se están realizando ataques de tipo XSS que permiten, entre otras, modificar la imagen de la web, robar sesiones de los usuarios y redireccionar a servidores con malware, cuando se informa de una vulnerabilidad XSS en una auditoría no se le da el valor que corresponde?

¿Pero saben cuál fue la mayor pregunta que me hice después? Que ocurrió en Alemania con el socavón, que era lo que realmente me interesaba.

El pasado martes 19 de octubre apareció la noticia del lanzamiento de la suite de seguridad más famosa en su versión comercial, Metasploit Pro 3.5. Entre las nuevas características, destacan la habilidad de identificar, auditar y explotar aplicaciones web, lanzar campañas de ingeniería social a gran escala, evasión de antivirus e IDS, trabajo colaborativo y generar informes personalizados. Además, Metasploit Pro permite hacer VPN Pivoting en capa 2, lo cual nos crea una interfaz virtual dentro de la red remota desde la que poder lanzar cualquier herramienta de seguridad.

La instalación es muy sencilla, tanto para Windows como para Linux. En caso de tener alguna duda, recomiendo seguir las guías de instalación y de usuario que se pueden encontrar en la web. Para probar la herramienta, Rapid7 pone a nuestra disposición una imagen de VmWare con servicios vulnerables.

Vamos a ver de forma rápida la interfaz web y algunas de las nuevas opciones que hemos probado:

La interfaz es prácticamente igual que la de Metasploit Express. Tenemos un resumen del estado del proyecto donde se aprecian las estadísticas sobre estado de los hosts, sistemas operativos, actividad y servicios de red encontrados.

Esta es la pantalla de auditoría web automática. Las opciones se explican por sí solas: WebScan, Autit Web Apps y Exploit Web Apps.

Otra de las características que nos ha gustado es el apartado de Campaigns, desde donde podemos montar un servidor web que genere ataques de phishing, o explotar vulnerabilidades del navegador con solo visitar la página.

En la captura se ven las diferentes opciones para lanzar la campaña. Por ejemplo podemos configurar un envío masivo de correos electrónicos que redirijan a nuestra página especialmente creada. En una página posterior nos permite personalizar la página que se mostrará; aquí entra la habilidad o imaginación de cada uno para realizar un site creíble. También dispone de la opción de lanzar una campaña USB que nos creará los archivos necesarios para “dejar olvidado” un usb en lugares estratégicos. Aquí un ejemplo de campaña exitosa:

Como se ve en la imagen, se han obtenido 2 sesiones con el host después de explotar una vulnerabilidad de java.

Después de esto, en el apartado Sessions, podemos obtener evidencias de la intrusión, acceder al sistema de ficheros, realizar pivoting y obtener una shell en el navegador. Todo esto centralizado y accesible para todos los miembros del proyecto.

Por último, comentar el apartado Reports, que nos permite de forma fácil y rápida, generar informes sobre la auditoría. Entre los reportes que genera están el resumen ejecutivo, vulnerabilidades explotadas. Incluso hay un informe (Detailed Audit Report) donde se informa de todos los pasos que se han ejecutado en la auditoría.

Para terminar, comentar el precio de la herramienta, 15000$ por la licencia anual. Un precio prohibitivo para muchas empresas pero que sin duda, vale la pena probar, para lo que existe una versión trial totalmente funcional durante unos días, que hará las delicias de los pentesters. Happy hacking!

Para esta tarde de martes tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Se supone que en el Templo de Apolo de Delfos (y bajo la puerta del Oráculo en Matrix) había una inscripción que decía ‘Conócete a ti mismo’. Atribuida tradicionalmente a la poetisa Femonoé, para el poeta Juvenal es el primer paso hacia la auténtica sabiduría. Curiosamente en comunicación, conocerse a uno mismo es uno de los aspectos a los que menos atención se suele dedicar. Sin embargo en ese autoconocimiento se encuentra la clave para desarrollar una reputación a prueba de crisis.

Crisis es una palabra que, pese a llevar un par de años de moda, tiene un amplio recorrido tanto en gestión empresarial como en comunicación corporativa. La gestión de crisis es una disciplina y un arte que, pese a lo que muchos pudieran pensar, tiene más de prevención que de reacción. Y precisamente en esa actitud preventiva es donde juega un papel esencial la necesidad de conocerse a uno mismo (y a su marca, por supuesto).

[Read more…]

Como todos sabéis, la seguridad de la información ha pasado en los últimos años de ser un terreno reservado a unos pocos a estar en boca de todos, gozando de gran repercusión en los medios tradicionales, que hasta hace poco parecían dejar de lado muchas veces el mundo virtual. Con nuestros datos repartidos en cientos de aplicaciones, tanto de escritorio como web, y la facilidad actual para conectarse a Internet, las intromisiones en la seguridad de las aplicaciones y el robo de información personal están a la orden del día.

Es por ello necesario realizar campañas de concienciación para que el usuario medio, normalmente poco consciente de las implicaciones que tiene usar cierta aplicación o servicio y despreocupado a la hora de introducir sus datos personales, contraseñas y/o tarjetas de crédito en cualquier aplicación que se proponga usar, tenga más cuidado en lo que a seguridad de la información y revelación de datos de carácter personal se refiere.

En esta línea, octubre es el mes de la concienciación por la ciber seguridad para la NCSA (National Cyber Security Alliance), que durante todo el mes de octubre está haciendo campaña a través de diferentes canales y a través de las empresas que lo forman. Se han realizado todo tipo de eventos, creado multitud de campañas y cientos de recursos en esta línea.

Pero entre todos ellos destaca por su simplicidad y, a mi juicio, efectividad, la lista de comprobaciones de seguridad que Google ha lanzado para sus cuentas. En ella se cubre la seguridad, únicamente web en este caso, en todos sus aspectos y de una forma sencilla y concisa.

Tenemos 18 recomendaciones repartidas en cinco grupos de elementos: el ordenador, el navegador, configuración de cuenta, configuración de correo electrónico y un muy genérico recomendaciones finales, que engloba otras consideraciones que no caben en las categorías anteriores. Si bien están pensados para las cuentas de Google, son recomendaciones simples que se pueden extrapolar a cualquier otro servicio web, y su uso constituye un ejemplo de buenas prácticas que nunca está de más seguir.

Como contrapartida, decir que esta “checklist” está disponible únicamente en inglés, pero al estar enfocado a un público general el nivel de inglés requerido no es muy técnico, por lo que seguir las directrices que nos recomiendan no debería ser excesivamente complejo. Espero que les sirva de utilidad a ustedes, o si ya las aplican, a otras personas menos puestas en este tema.

(N.d.E. Para que no se aburran durante este largo fin de semana, aquí va una entrada de Roberto calentita calentita.)

Hace escasos días surgía la noticia de la posibilidad de saltar el código de bloqueo de los dispositivos iPhone con IOS 4.1 a través de las llamadas de emergencia, permitiendo realizar llamadas a cualquier número. El escándalo saltaba nuevamente, y los “antimaqueros” tenían una nueva excusa para demonizar al gigante de Jobs y los usuarios amantes de “la Manzana”, entre los que se encuentra un servidor, sonreíamos resignadamente ante las burlas de estos.

Pues bien, para quitar hierro al asunto y aunque como profesional de la seguridad me parece una gran pifia por parte de los desarrolladores de Apple, os voy a presentar una segunda manera de poder realizar llamadas a cualquier número con el bloqueo de código activado. Este método hace uso del control por voz de nuestros terminales, de esta manera y con el dispositivo bloqueado tan solo tenemos que dejar presionado el botón de Home durante un par de segundos y activar el reconocimiento de audio. Acto seguido tan solo tenemos que pronunciar el comando “llamar” y el número de teléfono que queramos, por ejemplo “llamar 555 34 43 34”.

Como aspectos negativos de esta funcionalidad nativa del terminal cabe destacar que gran parte de los usuarios no la utilizan o ni siquiera saben que existe, a ello hay que añadir su principal problema y es que viene activada por defecto cuando se adquiere el dispositivo. ¿Debería Apple desactivar esta funcionalidad, al menos por defecto, dejando la posibilidad de activarla al usuario? La respuesta a esto se la dejamos a los lectores.

Por último y como buena noticia comentar que es posible deshabilitar su uso cuando el terminal está bloqueado en Ajustes-> General -> Bloqueo con código -> Marcación por voz.