Conservar la privacidad como medida de seguridad

12 de julio de 2019 Por

Hoy traemos una colaboración de Luis Amigo. Él se define de la siguiente manera: “Con raíces sólidamente enterradas en el mundo Unix, me gusta definirme como estudiante en tránsito, gestor de proyectos, programador, devops… aún faltan muchas cosas por aprender. Cuando no estoy trabajando o estudiando disfruto leyendo, escribiendo o compartiendo artículos.
Desde estas líneas agradecemos a Luis su participación.

Muchas compañías son conscientes de que la información es uno de sus principales activos y por ello invierten cada vez más en protocolos y medidas de seguridad. Los expertos en seguridad saben que el propio usuario es uno de los principales vectores de riesgo y por eso establecen medidas para evitar estos problemas en el entorno controlado de una oficina. Estas políticas entran en colisión directa con paradigmas cambiantes como el trabajo remoto o la posibilidad de llevar dispositivos personales a la oficina (BYOD). Aunque los expertos en seguridad establecen medidas de control para este tipo de casos, es importante que se fijen en otro problema que pasa desapercibido: la cantidad de datos personales que esos trabajadores van dejando en Internet y que pueden ser utilizados para generar vectores de ataque sobre sus compañías.

La ausencia de privacidad es un problema de seguridad

Durante años se ha ignorado el problema de seguridad que viene de la mano de la falta de privacidad. Los usuarios han ido realizando registros en multitud de emplazamientos, dejando respuestas a preguntas secretas, dejando información sobre sus hábitos, sobre su vida, sobre su infancia… sin ser conscientes de los problemas de seguridad derivados de esos problemas. [Read more…]

La importancia del bastionado de servidores – Parte 3. El incidente

8 de julio de 2019 Por

Hoy publicamos el tercero, y último, de los artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Aquí tenéis todos los artículos de la serie [1] [2] [3]

Con la tienda ya publicada y en servicio, llega el momento de poner en práctica todas las cosas que hemos mencionado arriba: mantener una correcta vigilancia, mantener la aplicación y sistemas actualizados, etc.

Personalmente reviso casi todas las mañanas las alertas de Suricata de todos los servicios que tengo publicados. Filtro aquellas que no considero relevantes y me centro en las que sí que lo son. Normalmente se tratan de intentos de intrusión que han sido bloqueados o intentos de explotar una tecnología que no está desplegada en el servidor. Esto ocurre a menudo cuando, por ejemplo, se publica una vulnerabilidad de WordPress y los atacantes intentan explotarla en cualquier CMS accesible desde Internet, aunque no disponga de la versión vulnerable o ni siquiera sea del mismo fabricante del que se haya publicado la vulnerabilidad. [Read more…]

La importancia del bastionado de servidores – Parte 2. Bastionando el servidor

4 de julio de 2019 Por

Hoy publicamos el segundo de tres artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Aquí tenéis todos los artículos de la serie [1] [2] [3]

De acuerdo, tenemos la misión de hospedar una aplicación web de comercio online y ofrecerla al mundo en un servidor que tenemos en propiedad. Nuestro objetivo es que sea lo más inexpugnable posible a todos los niveles. Dado que se trata de una aplicación web, es previsible que el principal vector de entrada de ataques sea a través de vulnerabilidades de la propia aplicación. A ver, no nos engañemos, todos los CMS son firmes candidatos a tener vulnerabilidades severas. El esquema de cómo estará organizada la plataforma es el habitual en un servidor virtual:

Por lo tanto, la cuestión es elegir un CMS con estas premisas:

  1. Que se desarrolle activamente y esté respaldado por una comunidad numerosa de desarrolladores o por una gran empresa. Esto nos garantiza que cuando se publique una vulnerabilidad, ésta sea rápidamente corregida.
  2. Que el CMS instalado sea la última versión disponible de una rama que tenga soporte, y que se prevea que siga teniéndolo durante bastante tiempo. No hay que olvidar que, dado que no disponemos de entorno de desarrollo en casa, las actualizaciones o migraciones implican pérdida de servicio que a su vez implica potencial pérdida de dinero.
  3. Que sea compatible con el sistema operativo del servidor que disponemos. Una consideración que es obvia pero importante.
  4. Que el historial de vulnerabilidades críticas sea lo más bajo posible. Un CMS que se desarrolla activamente y tiene buen soporte pero que de media se descubre una vulnerabilidad crítica cada semana no es viable de mantener ni seguro de utilizar.

[Read more…]

La importancia del bastionado de servidores – Parte 1. Introducción y tipos de infraestructura

1 de julio de 2019 Por

Hoy publicamos el primero de tres artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Jorge se presenta de la siguiente forma: “Aunque oficialmente soy administrador de sistemas y responsable de seguridad en la empresa donde trabajo, lo cierto es que mi trabajo también es mi hobby. Soy un gran aficionado a la informática geek, a la seguridad defensiva, a desplegarme mis propios servidores y a todo proceso DIY (‘do it yourself’) que me plantee nuevos retos de aprendizaje mientras me busco la vida para solucionar los problemas. La evolución es mi pasión.

Todas las empresas, sin importar el ámbito en el que se desarrollan, disponen en mayor o menor medida de una infraestructura informática de servidores que almacenan y procesan información corporativa de vital importancia para el negocio. La duda que siempre me asalta es: si tan importante es esta información, ¿por qué la experiencia nos dice que es tan frecuente que las empresas no mantengan sus servidores, aplicaciones y equipos actualizados y debidamente bastionados?

Bien es sabido que una gran parte de las empresas no toman en serio la seguridad informática. Sin ir más lejos este informe publicado hace tres meses indica que 7 de las 10 vulnerabilidades más explotadas durante 2018 tenían entre 1 y 6 años de antigüedad; o este otro informe que indica que una gran cantidad de empresas no parchean sus sistemas de forma rápida. Esto es debido a que, las empresas piensan que no son objetivo escudándose en el el típico pensamiento de “mi empresa es pequeña y no tiene nada atractivo para los hackers”, o bien porque no tienen o no consideran necesario disponer de recursos de personal y herramientas para mantener la plataforma actualizada. O al menos no lo hacen hasta que ya es demasiado tarde, y de eso mismo voy a hablaros en el post de hoy. It’s a true story. Vamos con un poco de background. [Read more…]

¿Tienes un dron y no sabes si lo que haces con él está permitido?

27 de junio de 2019 Por

¿Quién no ha paseado en Madrid por el Retiro y se ha encontrado con un dron sobrevolando su cabeza? Seguro que situaciones como ésta habéis tenido en algún momento, incluso puede que alguno de vosotros haya realizado esta misma actividad con su dron dentro de la ciudad.

Aunque sea una actividad lúdica que realizamos como hobby y no con fines comerciales o profesionales, debemos tener en consideración diversos aspectos.

¿Al tratamiento de datos de carácter personal que realizamos con nuestro dron, le aplica el RGPD y, la Ley 3/2018 de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales?

Hoy en día hasta el dron más básico dispone de una cámara y/o un GPS, por lo que captar la imagen de terceras personas es muy sencillo. No obstante, si nos ceñimos a lo que establece el RGPD en su artículo 2.2 c) éste no será de aplicación a aquel tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, es decir las grabaciones de imágenes que podamos obtener no estarían sometidas a la normativa en materia de protección de datos. [Read more…]

UCAM CTF Forense — Like old school II

24 de junio de 2019 Por

En mi post anterior se hablaba de procesos básicos de cualquier análisis forense como son la recolección de información, preanálisis de sesiones de usuario/sistema y de credenciales LSASS. En este post voy a proporcionar una visión muy general de procesos y tácticas del adversario empleadas en las comunicaciones, para ganar persistencia, vectores de entrada y descuidos humanos.

Comunicaciones > USB

Los USB conectados al equipo de Lionel son fácilmente rastreables, tanto de forma manual como con herramientas de “botón gordo“. Veremos ambas formas, para entender mejor cómo se realizaba cuando no existían estas commodities.

Forma manual: En el fichero de eventos ‘System.evtx’ cazamos el EventID 20001 producido a las 19.04.09 23:29:57 (UTC) que nos indica que se ha instalado un nuevo driver; en este caso se observa que se trata de una memoria flash de la marca Kingston, modelo DT101 G2.

Forma automática: Importando el fichero del registro SYSTEM en la herramienta USBDeview de Nirsoft con ‘Options > Advanced Options > Load From: External SYSTEM Registy File, SYSTEM Registry File: {ruta del fichero SYSTEM}’ podemos observar de forma instantánea que se han obtenido las trazas que justifican que se ha introducido un Kingston DT101 G2.

Por dar otra alternativa, en la parte inferior de la imagen anterior vemos la GUI de USB Detective que, pese a ser una herramienta freemium, su versión Community nos muestra de forma elegante resultados muy similares a USBDeview. El USB en cuestión tendría la forma y color de uno de los siguientes. No he sido capaz de identificar su tamaño.

Comunicaciones > Ethernet

Observamos que hay una instalación de XAMPP que contiene en la ruta ‘\xampp\htdocs’ los ficheros de la web bufetehutz[.]com. XAMPP es un entorno multiplataforma de desarrollo web en PHP que contiene los componentes Apache, MariaDB, PHP y Perl. Recordemos que XAMPP está pensada para usarse en contextos educativos y de desarrollo, por lo que se desaconseja su uso en sistemas en producción. Además, tiene grandes carencias de seguridad por defecto, por ejemplo, la cuenta de administrador de MySQL (root) no tiene contraseña, y el demonio MySQL así como PhpMyAdmin y la página demo de XAMPP (carpeta dashboard) son accesibles por red.

Analizando su contenido, llama la atención el directorio ‘\testsite’ en el que existe una instalación de WordPress en local que es el CMS (Content Management System) más popular del mercado, y el que está corriendo la web de Lionel.

En el fichero wp-config.php tenemos la configuración del servidor MySQL del que está tirando la web. De él, podemos extraer las claves de conexión, prefijos de las tablas de la base de datos y varias variables de WordPress.

En este caso, se están empleando los valores por defecto (root:<blanco>) para conectarse a una MySQL alojada en el mismo equipo. Vista la seguridad muy cuestionable de la web es posible que el atacante hubiera accedido aprovechando varias de sus vulnerabilidades.

Analizando el fichero ‘\xampp\apache\logs\access.log’ y filtrando los accesos que se producen desde localhost (que eran varios cientos), se reducen a 43 las peticiones de recursos, desde las IPs locales 192.168.1.153 (17), 192.168.1.106 (3) y 192.168.1.42 (23), siendo la última IP la que más peticiones realiza al servidor web y también, concretamente, a la web del bufete.

Vamos a seguir un paso más a ver si somos capaces de acceder al panel de gestión de WordPress sabiendo que Lionel y las contraseñas robustas no son buenos amigos. En la ruta ‘\xampp\mysql\data\wordpress’ se encuentra el fichero wp_users.idb que junto a otros, conforman la base de datos MySQL con sus metadatos y datos. Si nos fijamos en su contenido, identificamos lo que parece el hash de la contraseña del usuario admin.

Es decir ‘admin:$P$BI9SyUjvR/RfnoKXRkXlOlmhP.bSBZ.’ solo hace falta crackearlo para obtenerla en plano, por ejemplo usando John, que nos devuelve a los pocos segundos admin1234.

Persistencia

La persistencia, AKA “capacidad de sobrevivir a un reinicio”, es una condición de victoria para cualquier atacante. La pueden conseguir de muchas formas y lugares del sistema operativo. Con diferencia la ubicación más frecuente sabemos que son los valores Run/RunOnce del registro de Windows, en los que se puede almacenar rutas de ficheros, comandos y scripts que se cargan en la fase de startup del equipo o sesión de usuario.

En el espacio de usuario que se carga de forma específica para cada usuario (Lionel, Secretaria, Jeff) tenemos varias rutas:

En el espacio del sistema que guarda la configuración específica del equipo y se carga para cualquier usuario que inicie sesión, también tenemos unas cuantas más:

Rebuscando de forma manual por ellas (una alternativa de botón gordo sería RegRipper), detectamos que para el espacio de usuario de Jeff se ha creado el valor “Iniciar” que contiene como dato la ruta de un archivo batch ‘C:\Windows\jeffi\backup.bat’.

Este fichero alojado en la carpeta ‘C:\Windows\jeffi\’ establece una shell reversa estableciendo una conexión netcat al puerto 6666 (dos archiconocidos por manejar en muchas ocasiones tráfico ilegítimo) hacia la IP 80.98.23.34 geolocalizada en Debrecen, Hajdú-Bihar (Hungría). Como no des explicaciones convincentes, individuo Jeff, estás en el punto de mira.

Si nos fijamos en el contenido de la carpeta, contiene una serie de ficheros en C y ejecutables que buscando por Internet apuntan a repositorios con una versión adaptada de netcat para Windows (ejemplo de fork aquí). Entre estos ficheros hay varios que no aparecen en netcat. Son ‘backup.bat’, ‘jijijiji.txt’ y un par más que están vacíos.

Si vemos el contenido de ‘jijijiji.txt’ tenemos el comando reg add, una instrucción de adición del valor “Iniciar” en una clave del registro de Windows, que coincide con la encontrada previamente, lo cual implica que con alta probabilidad se ha ejecutado en el equipo.

Hasta ahora hemos identificado la técnica de persistencia usada y un posible culpable, pero desconocemos el vector de entrada. No se encuentran antecedentes en Internet que vinculen la IP a actos malintencionados, por lo que se recomienda ponerla en cuarentena/blacklist y denunciarla a los FCSE competentes.

Vector de entrada

En la raíz del árbol de directorios del disco encontramos la carpeta ‘C:\Casos Bufete\’ que contiene subcarpetas de juicios con imágenes y correos de sus implicados. Tenemos que tener muy claro que, como peritos, tenemos la obligación de la confidencialidad para/con nuestros clientes. Por tanto, mientras esté justificado el motivo o necesidad, estaremos interfiriendo en la intimidad de los usuarios de los equipos que auditemos.

Si nos fijamos en la ruta ‘C:\Casos Bufete\Netflix vs Jeff Albertson\Operaciones cuentas.eml’ tenemos un .eml correspondiente a un email enviado a la dirección de correo corporativo de Lionel (lionel[at]bufetehutz[.]com) con fecha 19.04.08 17:38:04.

Su cabecera SPF (Sender Policy Framework) muestra una discrepancia entre los servidores de correo legítimos en origen y el empleado en este correo. El mecanismo SPF no valida el campo visible “From” de la cabecera, para ello está el mecanismo DMARC.

Sin entrar en detalles, lo que valida son varias de las cabeceras ocultas que se transmiten junto al correo.

Esto ya empieza a oler más fuerte. Si nos fijamos, la IP empleada como origen es la misma con la que se estaba ganando persistencia, 80.98.23.34.

Si nos fijamos en el cuerpo del email, se puede apreciar que hay faltas de ortografía (segundo indicativo de que el origen puede ser malicioso). Además está situada muy cerca de un enlace, aparentemente generado con algún tipo de DGA (Domain Generating Algorithm) en origen, que ni de lejos corresponde con la empresa BBVA. Por tanto, aumentan mucho las probabilidades de que sea malicioso. Como podemos leer a continuación, Jeff vuelve a estar por en medio, realizando una transferencia bancaria falsa de 661,20 EUR a una cuenta del bufete de abogados.

Desconocemos qué contenido se descargaba del dominio hxxp://3234djkkwqewq[.]com porque está caído (y entre tu y yo… nunca ha existido el dominio, la magia de los CTFs). Supondremos que el cliente de correo era el punto de infección del que se descargaba un maldoc que posteriormente se ejecutaba.

Analizamos los IOCs que tenemos: la IP 80.98.23.34, un dominio hxxp://3234djkkwqewq[.]com y email notificaciones-bbva[at]fake[.]com. Al igual que hemos hecho anteriormente y respetando el alcance del análisis, se recomienda ponerlos en cuarentena/blacklist y denunciarlo a los FCSE competentes.

Emails sobre corrupción y ladrones

Rebuscando más en la misma carpeta, encontramos otro .eml en la ruta ‘\Casos Bufete\Netflix vs Jeff Albertson\Operaciones cuentas.eml’ que contiene otro email enviado a Lionel (lionel[at]bufetehutz[.]com), donde un tal Snake realiza varias afirmaciones, que en resumen son:

  • Lionel, Snake y Fat el gordo tienen como objetivo atacar la imagen pública de Mayor Joe sacándole fotos comprometidas para acabar con su carrera política.
  • Para poder sacar esas fotos a Mayor Joe sin que se entere, simulan el robo del prototipo del profesor Flink en el despacho de Lionel, que lo permite.
  • Como respuesta, Mayor Joe contrata a Jeff para borrar todas las pruebas incriminatorias del despacho de Lionel.

Las fotos comprometedoras de Mayor Joe que Jeff no ha borrado están en la ruta ‘\Casos Bufete\Caso corrupción Mayor Joe y tesorero’.

Timestomping

Somos muy insistentes y seguimos analizando detalles en la carpeta de los juicios. Esta vez nos llama la atención la imagen ‘\Casos Bufete\Plagio del profesor Frink\top secret Frink.jpg’ que tiene una fecha de creación y última modificación de 2029.04.10; ya, sí, claro, … Claramente tiene los timestamps MACB modificados (técnica timestomping).

Tras un buen rato buscando, curiosamente, resulta que en la carpeta en la que se encuentra el software instalado, ‘\Program Files (x86)’ se encuentra también la herramienta SetFileDate de No Nonsense Software, cuyo objetivo es alterar tiempos y fechas de ficheros y carpetas. Tenemos premio. No nos aporta nada pero insisto en que es interesante saber las técnicas empleadas por el atacante.

Ahora creo que ya sí podemos concluir que, según los emails analizados al final y las pruebas recabadas con anterioridad, todo apunta a que Jeff es el principal sospechoso de haber cometido la exfiltración de datos del bufete de abogados de Lionel en un intento fallido por borrar los datos del Mayor Joe. Los detalles ya los hemos ido desgranando progresivamente.

Conclusiones

Hasta aquí el trabajo que nos ha pedido la compa del SOC. Unas horas bien invertidas en las que:

  1. hemos repasado acciones muy frecuentes durante un análisis forense
  2. hemos lanzado muchas ideas al aire
  3. hemos analizado alternativas (que valoro mucho) de resolución de cada paso que hemos dado, marcándonos una progresión a través de pequeños hitos.

Este análisis ha sido posible gracias al reto organizado por el Master en Informatica Forense y Peritaje Informático Judicial del Campus Internacional de Ciberseguridad. Desde aquí les mando un saludo. Agradecerle también a Antonio Sanz por el cable de 500XP que me ha echado para complementar y perfilar cada uno de los puntos que he tocado. Ya puedo decir que no es mi primer ni último post en SAW :)

Recursos destacados

UCAM CTF Forense — Like old school

31 de mayo de 2019 Por

Hoy, como aficionado al análisis forense digital (la parte puramente IT, sin entrar demasiado en lo legal), analizaré de forma didáctica el caso ficticio “Lionel Hutz papers” planteado en UCAM CTF, incidiendo en los procesos de resolución empleados y las conclusiones sobre la naturaleza del ataque. Espero que os parezca interesante.

En primer lugar, dos handicaps autoimpuestos:

  1. A diferencia de un ejercicio de IR (respuesta rápida ante incidentes), la evidencia la trataré siempre en frío.
  2. Por tanto, se usará exclusivamente el disco, like old school (que da nombre al post), sin tocar la RAM y mucho menos levantar la VM aislada para monitorizar su actividad.

En segundo lugar, al ser un ejercicio enmarcado en el formato CTF, responderemos de forma indirecta a cuestiones que bien pueden ser interesantes, o bien podrían ser irrelevantes o no concluyentes durante la elaboración de las conclusiones y por tanto en según que casos reales no se habría ni siquiera planteado. Dicho esto, ¡vamos al lío! [Read more…]

Unaaldía organiza su primer evento de ciberseguridad UAD360

30 de mayo de 2019 Por

Unaaldía organiza su primer evento de ciberseguridad en la ciudad de Málaga los próximos días 7 y 8 de junio. El evento ha sido bautizado como UAD360 y contará con talleres, conferencias y un CTF presencial. Además la organización dará regalos a los asistentes y se encargará del almuerzo y desayuno del sábado así como de una consumición de la fiesta del sábado.

La iniciativa ha sido promovida por Una al día y cuenta con la colaboración de la Universidad de Málaga e Hispasec, además del patrocinio de la empresa Buguroo y el apoyo de Extenda e Incibe.

Aquí os compartimos la agenda del evento y la descripción de las charlas y talleres:

Charlas

Sergio de los Santos – Macro problemas / Micro soluciones

Ingeniero Informático de Sistemas por la Universidad de Málaga, donde también ha cursado un Máster en Ingeniería del Software e Inteligencia Artificial. Ha sido galardonado, desde 2013 a 2017, con el premio Microsoft MVP Consumer Security, e imparte clases del máster de Seguridad TIC en la Universidad de Sevilla. Director del Máster en ciberseguridad de la UCAM.

Actualmente Sergio es Director del área de Innovación y Laboratorio de ElevenPaths, la unidad de ciberseguridad en Telefónica Digital. Desde 2000, ha trabajado como auditor y coordinador técnico, ha escrito un libro sobre la historia de la seguridad y tres libros más técnicos sobre hacking y seguridad Windows.

La charla propuesta versará sobre cómo el malware de macro se ha vuelto el vector de ataque estándar y qué micro-soluciones podrían mitigarlo

Durante los 45 minutos que durará la charla se dará un repaso técnico a diferentes ejemplos reales de malware que han utilizado macros en los últimos tiempos como método de infección. Nos centraremos en el “por qué”,  “cómo” y “qué” herramientas disponemos para mitigar este problema.

Fernando Diaz – Dead or Alive 6: Core Unlocks

Ingeniero de software en VirusTotal. Dedicado a desarrollo de tecnología de Sandboxing distribuido para análisis dinámico de binarios en entornos Windows y Android. Investigación dedicada a analisis de malware, kernel drivers y gamehacking.

DOA6 es un videojuego de reciente lanzamiento en Marzo de 2019, dentro del género de lucha. Para aquellos jugadores que no quieran comprar el juego completo, Koei Tecmo da acceso al juego completo pero capado: podremos jugar a todos los modos, pero solo podremos seleccionar 4 personajes de los disponibles.

En esta charla, veremos cómo encontrar la manera de modificar el juego durante ejecución para tener acceso a estos personajes bloqueados y modificar su set de movimientos, pudiendo jugar sin tener el personaje comprado. Para automatizarlo, utilizaremos Frida, un framework de instrumentación de binarios.

David Santos – TOR DIY isolated or not

Investigador de seguridad con más de 10 años de experiencia en el sector público, principalmente enfocado en el estudio e investigación de nuevas amenazas y su explotación.

La charla comenzará con una explicación sobre el funcionamiento interno de Tor, mostrará cómo se ha llevado a cabo la posibilidad de montar una red Tor aislada de Tor Network y las vicisitudes encontradas. Finalmente se mostrará cómo se ha empleado Tor como entorno de laboratorio para realizar ataques y pruebas en nodos de salida, además de resultados reales obtenidos. Se publicará la documentación relacionada con parte de la charla al finalizar la misma.

Soledad Antelada – Protegiendo la red más rápida del mundo

Ingeniera en Ciberseguridad en el Lawrence Berkeley National Lab, perteneciente al Departamento de energía de EEUU y la líder de seguridad de Scinet/SC, la conferencia Internacional de computación de alto rendimiento. Fundadora de GirlsCanHack, una organización dedicada a involucrar a las mujeres en la ciberseguridad y Presidenta del Consejo de Mujeres Científicas e Ingenieras en Berkeley Lab, WSEC. Su experiencia abarca penetration testing, reconocimiento de amenazas, análisis de tráfico de red, respuesta a incidentes, análisis forense, resolución de incidentes de seguridad, arquitectura de red y promoción de una sólida cultura de seguridad a través de consultoría técnica.

SCinet es la infraestructura de red de alto rendimiento dedicada de la Conferencia de Supercomputación (SC), diseñada y construida por expertos voluntarios de la industria, la academia y el gobierno de EEUU y diversas Universidades Europeas. SC es la conferencia internacional para redes, almacenamiento y análisis de computación de alto rendimiento esponsorizada por ACM (Asociación para Maquinaria de Computación) y la asociación de computación IEEE. SC18 en Dallas, superó los 4Tbps. La planificación comienza más de un año antes de cada conferencia SC y culmina en una instalación de alto rendimiento que, durante la conferencia, es la red más rápida y potente del mundo. SCinet es compatible con las aplicaciones y experimentos revolucionarios que son un sello distintivo de la Conferencia SC permite a los expositores demostrar las capacidades informáticas avanzadas de sus soluciones y servicios. El equipo de seguridad de red se encarga de proteger los recursos de SCinet, proveedores, expositores y asistentes durante la conferencia además de proporcionar una solución de seguridad de vanguardia en cada edición de SC. Las actividades del equipo de seguridad incluyen participar en la construcción de la arquitectura de red, diseñar el security stack, filtrar el tráfico dañino de la red, prevenir la aparición de sistemas comprometidos, la gestión de incidentes y también proteger Internet de la potencia de la red SCinet.

Bernardo Quintero

Fundador de Hispasec y VirusTotal. Manager at Chronicle (Google).

Charla por confirmar

Talleres

Luis Vacas – Taller de Pentesting

Capitán del primer equipo español en la plataforma online “Hack The Box”. Ha impartido charlas de evasión de antivirus y es un gran conocedor de pentesting sobre sistemas Windows.

El taller explicará conceptos básicos sobre pentesting guiados por pruebas reales de explotación sobre una infraestructura de 5 máquinas. El nivel irá subiendo y abordará mañana y tarde del viernes.

Eduardo Matallanas – Taller de Inteligencia Artificial

Ph.D. en las áreas de Informática y Gestión de la Energía por la Universidad Politécnica de Madrid (UPM). Doctorado en «Redes neuronales artificiales recurrentes para el control distribuido de redes eléctricas con electricidad fotovoltaica». Autor y coautor de 11 artículos en revistas internacionales y 7 artículos de conferencias internacionales que se centran en las áreas de energía y control. Actualmente trabaja como ingeniero de datos en Plain Concepts.

Hoy en día el uso de la IA se ha hecho extensivo gracias a la democratización de estos servicios y la aparición de nuevos frameworks. Pero el concepto de IA no es nuevo, es más antiguo de lo que creemos. En el taller se hará una revisión histórica de los diferentes hitos dentro de la IA. Se comentará cómo han evolucionado las técnicas de IA y cuáles son los paradigmas de aprendizaje. También se resumirá cuál es el flujo de vida de un proyecto de IA y cómo se dividen cada una de sus fases. Por último, se comentarán diferentes ejemplos de aplicación de la IA. En cuanto a la parte más práctica del taller se verán diversos ejemplos de aplicación sobre el dataset de MNIST y cómo aplicar diferentes aproximaciones para empezar con un ejemplo clásico de clasificación, además de familiarizarse con el framework de TensorFlow desarrollado por Google.

Alberto Segura – Taller de Introducción al Exploiting

Ingeniero Informático por la Universidad de Granada, posee un máster profesional y está cursando el doctorado. Actualmente trabaja como analista de malware en Hispasec.

En el taller se dará una introducción a la explotación de binarios en Linux. Se realizará una breve introducción al lenguaje ensamblador (x86 y x86_64) y a la disposición de memoria, centrándose especialmente en la base necesaria para el desarrollo de exploits (como las convenciones de llamada y retorno de funciones). De modo que, con estos conocimientos básicos, se introduzcan herramientas (GDB, radare2, pwntools) y técnicas habituales (ret2libc, ROP) para la explotación de binarios. Además, se dará un repaso de las medidas de seguridad (ASLR, NX, Stack Canary, PIE) que se han ido añadiendo para dificultar la explotación de vulnerabilidades en binarios, incluyendo escenarios en los que dichas medidas de seguridad no imposibilitan una explotación satisfactoria.

Esperamos que el evento os resulte de interés, y esperamos las crónicas de los que asistáis.

Simple & crazy covert channels (II): MATLAB

2 de mayo de 2019 Por

Desde que empecé a estudiar en la universidad le tengo bastante manía a una herramienta que para muchos es excepcional y vital en sus trabajos. Esa herramienta es MATLAB.

Como a la mayoría de cosas a las que tengo manía, siempre intento utilizarlas para hacer el mal, por ello durante el siguiente artículo vamos a ver unos sencillos trucos para la utilización de esta herramienta para llevar a cabo la ejecución, persistencia, comunicación y exfiltración de información en nuestras auditorias de seguridad.

Durante el artículo, vamos a dar por hecho que la herramienta se encuentra instalada en el equipo de la víctima (cosa no poco probable en caso de que el objeto de nuestra auditoria tenga como objeto el ámbito ingenieril o científico). [Read more…]

MUS CTF DFIR – Desktop (Nivel 4)

11 de abril de 2019 Por

1. ¿Cuál es el hash SHA1 de la imagen forense del puesto de escritorio?

Si la captura forense no tiene hashes, no es una captura forense. Revisamos el fichero MUS-CTF-19-DESKTOP-001.E01.txt y encontramos en un periquete el hash:

[Computed Hashes]
MD5 checksum: c0d0eaf2c981cd247bf600b46e6487c3
SHA1 checksum: a20c2f43a80ddcad35b958b701a6cdd4b67e535c

* Respuesta: a20c2f43a80ddcad35b958b701a6cdd4b67e535c

2. ¿Quién adquirió la imagen forense del puesto de escritorio?

El mismo fichero de logs de la adquisición forense del apartado anterior nos da la respuesta.

Examiner: Powers

* Respuesta: M Powers
[Read more…]