Security Art Work

La actual situación de pandemia provocada por el infausto COVID-19 (o Coronavirus) está impactando en todos los ámbitos de la sociedad: el primero y más importante, el de la salud pública y el consustancial instinto primario de supervivencia del individuo; probablemente, la segunda preocupación sea el impacto económico que, como trabajador o como emprendedor, la epidemia está causando en la operativa y en las previsiones de las empresas y corporaciones de cualquier sector y naturaleza.

Pero el mundo no se detiene… ¡y las organizaciones tampoco pueden permitirse parar su operativa de negocio!

Tras su última disputa (https://www.securityartwork.es/2018/02/26/evadiendo-av-shellter-tambien-sysmon-wazuh-i/), Pepote ha decidido volver a contratar a Pepito, quien en el fondo era un buen trabajador. Pero antes, Pepote ha tomado un par de precauciones, como bloquear páginas web con contenido de “hacking” que puedan facilitar a Pepito realizar acciones indebidas.

Pepito ha aceptado, pero aún le guarda rencor del tiempo que estuvo en la cárcel, así que en su primer día de trabajo ya intenta buscar formas para realizar acciones malintencionadas contra su jefe. (Ya desde aquí huele a relación laboral prometedora y cordial, pero eso para otro día).

[Read more…]

Con motivo de la pandemia mundial que nos afecta, son muchas las cuestiones o dudas que se han ido planteando a lo largo de estas semanas y que con toda seguridad se seguirán abordando.

Algunas de las cuestiones más notorias han sido: ¿Puede mi empresa tratar datos personales de salud de los empleados sin tener en cuenta nada más? ¿Hay que cumplir con la legislación vigente? ¿Las autoridades sanitarias pueden tratar todos los datos que consideren necesarios, y cómo?, ¿me van a vigilar a través del móvil?

En primer lugar, debemos hacer especial hincapié en que tanto la normativa en materia de protección de datos como la normativa sectorial o específica, siguen siendo plenamente aplicables como ha confirmado la autoridad de control en su Informe 0017/2020 y FAQS sobre COVID-19, así como el Comité Europeo de Protección de Datos.

Con la colaboración de Josep Soriano

Desde que en 2013 la consultora de ciberseguridad estadounidense Mandiant publicara su famoso report sobre APT1 evidenciando sus vínculos con diferentes agencias asociadas al gobierno chino, las noticias sobre sus actuaciones en el ciberespacio no ha hecho más que incrementarse.

Entre otros, nos encontramos con APT15, APT27 o Winnti Group (APT41); las acusaciones de ciberespionaje del DoJ estadounidense hacia cinco militares chinos asociados al grupo APT1; las vinculaciones que el FBI ha establecido entre Zhu Hua y Zhang Shilong y APT10; o el presunto vínculo de la unidad 61398 del PLA (People’s Liberations Army) con APT1.

Con el permiso de Rusia y su popular operación contra el DNC, China se ha convertido en el principal actor en el ciberespacio, desarrollando un incontable número de operaciones contra todo tipo de sectores: grandes tecnológicas, industrias militares o navales, y diferentes organizaciones gubernamentales. A veces utilizando malware más sofisticado, y a veces menos, pero cada vez más con un sello propio ligado a su extensa tradición.

[Read more…]

En los tiempos que corren, la ciberseguridad parece haber quedado en un segundo plano (y no sin razón, hay mucha gente que tiene otras preocupaciones más acuciantes).

Sin embargo, los cibercriminales no descansan. Y en estos momentos en los que todo aquel que puede está en su casa teletrabajando (¡bien hecho!), en muchos casos a marchas forzadas, somos especialmente vulnerables a ciberataques (un ransomware, por ejemplo, podría ser desastroso).

[Read more…]

(Nota del editor: teniendo en cuenta que la mayor parte de la información sobre blockchain se encuentra en inglés y las traducciones al castellano de los conceptos son relativamente jóvenes, y para facilitar la comprensión del contenido, hemos evitado traducir algunos términos específicos de blockchain. Pedimos disculpas a los puristas, empezando por uno mismo)

El artículo de hoy está escrito por Stefan Beyer, CEO @ Cryptonics, Consultor de Blockchain y Auditor de Contratos Inteligentes. Disfruten.

Es difícil conseguir hacer bien un smart contract. Sus tres propiedades principales, la capacidad de representar valor, la transparencia y la inmutabilidad son esenciales para su funcionamiento. Sin embargo, estas propiedades también los convierten en un riesgo para la seguridad y un objetivo de gran interés para los ciberdelincuentes. Incluso sin ataques deliberados, hay muchos ejemplos de fondos que se bloquean y de empresas que pierden dinero debido a los fallos y vulnerabilidades de los smart contracts.

En los últimos dos años, en Cryptonics hemos auditado los smart contracts de más de 40 proyectos. Estos incluyen diferentes tipos de tokenización de activos, pólizas de seguro, plataformas financieras descentralizadas, fondos de inversión e incluso juegos de ordenador.

Como resultado, hemos observado ciertas tendencias en las vulnerabilidades que solemos encontrar, y algunas son más comunes que otras. En este artículo, describiremos los cinco problemas más comunes que hemos venido detectando en nuestras actividades de auditoría.

[Read more…]

AVISO: este post es un poco spammer…

Dice la canción que veinte años no es nada pero, sinceramente, algo sí que es, y desde luego te da tiempo a hacer muchas cosas (y a volver con la frente marchita).

Este año hace veinte que acabé la carrera y por tanto se cumple el vigésimo aniversario de mi PFC (Proyecto Final de Carrera, que ahora con Bolonia no tengo muy claro cómo se llama), un trabajo sobre seguridad en Unix y redes que empezó focalizado en la red de la Universidad Politécnica de Valencia y que luego anonimicé, generalicé y liberé. Para celebrar que nos hacemos viejos, y por algún tema personal que no viene al caso, he hecho una pequeña tirada impresa de la última versión disponible del documento, sólo apta para los amantes del retrocomputing…

[Read more…]

La entrada, la semana que viene.

Texto propio. Dibujo original de RaphComic. Modificado con autorización.

[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].

[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].

Al día siguiente, con medio litro de café en el cuerpo, Ángela queda en el MINAF con Salvador y le pone al corriente de todo lo sucedido. A grandes rasgos, su teoría de lo sucedido es la siguiente:

1. Los atacantes han descubierto el servidor web WEBSERVER, han visto que era vulnerable a BlueeKeep y han explotado la vulnerabilidad para lograr acceso al sistema.
2. Una vez dentro, han volcado las credenciales del sistema con procdump, y obtenido las de salvador.bendito (admin del dominio)
3. Han dejado una webshell como acceso secundario, y han entrado en el equipo de salvador.bendito (ADMINPC1)
4. Se ha realizado un reconocimiento de la red, y han encontrado CHITONSRV.
5. Han intentado acceder a CHITONSRV con las credenciales de admin de domino sin éxito (CHITONSRV está fuera de dominio, con un admin local distinto)
6. Los atacantes han desplegado el keylogger Refog, y esperado a que Salvador Bendito entrara en CHITONSRV
7. Una vez Salvador Bendito ha entrado en CHITONSRV (y su contraseña queda capturada en Refog), los atacantes entran de nuevo por Escritorio Remoto siguiendo la cadena WEBSERVERà ADMINPC1à CHITONSRV, y roban la carpeta Secreto.
8. Se instala TeamViewer en el equipo ADMINPC1, y se emplea para exfiltrar los datos.

[Read more…]

[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].

[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].

En el artículo anterior habíamos dejado a Ángela buscando la localización de WEBSERVER para poder extraer evidencias que le permitieran comprender el alcance de la intrusión.

El nombre no le es familiar, así que puede ser algún servidor nuevo que haya sido puesto en producción recientemente. Ángela busca en la herramienta de inventario sin éxito. Revisa su hoja Excel con los equipos de la DMZ sin encontrar WEBSERVER. Manda un mensaje al área de Sistemas dentro del programa de mensajería corporativa interna … y está a punto de meterse en el cortafuegos perimetral a revisar a mano una a una las reglas cuando Beneplácito Seguro (uno de los administradores de red del MINAF), le dice que conoce ese servidor, y le cuenta la historia detrás del mismo.

[Read more…]