Mi5terio resuelto

22 de octubre de 2018 Por

Día típico de otoño, por la ventana solo se aprecia un cielo gris. Es el típico día en el que crees que no va a suceder nada extraño. De repente nuestro sistema de vigilancia alerta de unas conexiones anómalas: un equipo ha intentado conectarse contra unas direcciones IP de origen desconocido. Estas direcciones IP son públicas y, según la configuración establecida en la organización, toda conexión HTTP hacia el exterior debe pasar a través de un proxy.

Las conexiones se buscan en los registros del proxy y no se encuentran, por lo tanto este equipo ha intentado conectarse directamente, haciendo caso omiso a la configuración del sistema. [Read more…]

Laboratorio de hacking III: Nexx WT3020F SWORD

19 de octubre de 2018 Por

En esta parte de la serie de artículos de creación de herramientas trataremos el montaje de una dropbox que podremos dejar abandonada en una red a la que queramos tener acceso.

SWORD es un portal web instalado en un pequeño dispositivo, normalmente un router, en el que puedes hacer un pivote y hacer ataques desde él mientras el equipo principal se puede dedicar a otras cosas.

Su funcionamiento puede recordar a la herramienta Packet Squirrel de Hak5 en cuanto al tamaño y finalidad, aunque difiere un poco en su forma de trabajar. Mientras que Packet Squirrel  se conecta entre un host y el hub de red y selecciona 1 de entre 3 payloads que tiene precargados vía switch físico, SWORD se conecta de la misma manera pero tiene todo lo necesario precargado de forma que es necesaria una conexión hacia él, ya sea vía red física o por un punto de acceso que creemos desde el dispositivo, aunque si usamos este último, no podremos utilizar algunos ataques Wifi como por ejemplo los destinados a WEP y WPA. [Read more…]

Pasito a pasito: Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales

17 de octubre de 2018 Por

Seguimos avanzado en el trámite parlamentario para que el ordenamiento jurídico español tenga su nueva ley en materia de protección de datos. El pasado día 9 de octubre se presentaba el Informe emitido por la Ponencia sobre el proyecto de ley de protección de datos en la Comisión de Justicia del Congreso de los Diputados. Hoy, 17 de octubre, se publica el Dictamen de la Comisión que eleva a la Presidencia de las Cortes el recién rebautizado Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Tras este dictamen de la Comisión de Justicia, el proyecto de ley está muy encarrilado para ser aprobado definitivamente, si todo va bien, en los próximos meses. Poniendo el énfasis en los cambios respecto al texto inicial del proyecto de ley presentado a finales del año pasado, cabe destacar la inclusión del Título X relativo a distintos derechos digitales, que más allá de la controversia suscitada, puede llegar a ser una garantía para la protección de los datos en Internet, la educación respecto a la seguridad de la información en colegios y universidades, y la garantía del cumplimiento del derecho al honor y a la intimidad personal y familiar, tal como se establece en el artículo 18.4 de la Constitución. [Read more…]

Videovigilancia y RGPD

2 de octubre de 2018 Por

https://www.aepd.es

Han pasado más cuatro meses desde la entrada en aplicación del Reglamento General de Protección de Datos (RGPD) y aún hay responsables de tratamiento dándose de golpes contra la pared. Especialmente los responsables de tratar datos obtenidos a través de grabaciones de videovigilancia.

Llama especialmente la atención porque a diferencia del resto de tratamientos, a priori la información es mucho más accesible (por eso de la “cultura” heredada de la LOPD de poner el cartel informativo en un lugar visible). Últimamente no dejo de fijarme en los carteles, y aunque son pocos los actualizados a la normativa europea, los que lo están, en su mayoría, están mal.

Es destacable la parte referida a los derechos de los afectados y a la legitimación del tratamiento. En la inmensa mayoría de carteles, incluidas empresas multinacionales con inversiones en adecuación al RGPD no despreciables, figuran los seis derechos tipo del reglamento: acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento.
[Read more…]

Soluciones FDP (Fraud Detection and Prevention). El poder de la correlación de eventos para la acción preventiva

12 de septiembre de 2018 Por

Durante los últimos años han proliferado en el mercado tecnológico soluciones relacionadas con la detección del fraude a través de sistemas de inteligencia artificial basada en explotación de datos masiva (Big Data). La detección de patrones anómalos y correlación de eventos son dos de los elementos clave de éstas soluciones que permiten detectar los “inicios” de las anomalías antes de que se produzcan tanto a nivel de transacciones económicas, operacionales como de cualquier otro dato relacionado o no que se determine en un orden del tiempo o en lugar concreto.

Las soluciones FDP tienen por objetivo la correlación de eventos de manera efectiva dentro de los procesos de negocio relacionando datos de transacciones (financieras, comerciales u operativas) con determinaciones de patrones de riesgo. Así pues, basado en un modelo de datos adecuado consiguen hacernos llegar potenciales situaciones de riesgos previamente identificadas con un detalle adecuado para poder gestionar “la anomalía”.

Profundizando en las soluciones FDP (Fraud Detection and Prevention) hemos de encontrar primero aquellas que se han “encasillado” en un determinado nicho de trabajo con alta especialización y, por otro lado, las que desde la particularidad han ido adquiriendo gradualmente mayores ámbitos de aplicación. [Read more…]

Data Loss Prevention. Fuga y pérdida de datos no son soluciones sino riesgos

31 de julio de 2018 Por

Aquellos que llevamos muchos años protegiendo la información corporativa e investigando incidencias de fuga de información lo tenemos claro. No todo está detrás de un teclado en materia de secuestro de información, pérdida de datos y prevención de dichos eventos.  A pesar de ello, los esquemas de incidencia, los eventos no esperados, las acciones de las personas y el entorno no dejarán jamás de cambiar de forma sorprendente.

Básicamente hay que diferenciar tres elementos clave para determinar una incidencia de fuga de información:

Entorno: La evidencia de investigación no siempre está en un directorio, un equipo o un archivo. El entorno de fuga de información está compuesto por un conjunto de características de personas, la cultura empresarial, los medios y tiempo en que se desarrolla el proceso de fuga. En la evaluación del entorno podemos encontrar las relaciones de confianza, la segregación funcional, los sistemas de comunicación y un largo etcétera completado por las medidas de control puestas en marcha para la prevención de fuga de información.

Valor de la información:  No todas las fugas de información son importantes ni es posible prevenir el 100 % de los casos. No es lo mismo que se lleven unos resultados empresariales antes de cierre de ejercicio cuando la situación financiera es adecuada que cuando no lo es. De una manera sencilla, el valor de la información tiene una cotización dependiendo de la clasificación de la información que pudiéramos realizar más el impacto que significaría dicha fuga de información a nivel corporativo. Por lo tanto, la clasificación no es un elemento estático al que recurrir sino que proporciona el valor de impacto en caso de fuga dependiendo de un conjunto de criterios asociados al momento en que se produce, la estrategia empresarial y el valor en mercado negro (habitualmente a través de Dark Web). Existen más criterios para determinar el valor de información pero, desde luego, la categorización debe de adaptarse a la realidad del propietario de la información.

Motivación: La fuga de información corresponde a una motivación, racionalización y un esquema de vulneración. Uno de los problemas que suele aparecer en las investigaciones de fuga de información es que no se realiza dicho análisis desde una perspectiva plural y relacionada con la motivación y suele centrarse en la determinación del esquema en uno de los entornos. Es por ello que cuando hablamos de fuga de información basada en sistemas de información puede dejarse de lado el resto de elementos que constituyen la visión global del incidente. Si perdemos ésta perspectiva global, difícilmente podríamos adoptar medidas correctoras o preventivas que respondieran a una situación similar.
[Read more…]

Aprobación de medidas urgentes en materia de protección de datos

30 de julio de 2018 Por

Todos estábamos pendientes del Proyecto de Ley Orgánica de Protección de Datos (podéis ver el seguimiento de la iniciativa parlamentaria pinchando aquí), que este Real Decreto-ley que vamos a comentar nos ha pillado casi por sorpresa.

El pasado martes saltaba la noticia [1] [2] de que el gobierno modificaría con urgencia el régimen sancionador de la Ley de protección de datos. El pasado viernes día 27, el Consejo de Ministros aprobaba el Real Decreto Ley que finalmente ha sido hoy publicado en el Boletín Oficial del Estado (BOE). El Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos adapta aquellos preceptos en los que el Reglamento General de Protección de Datos (en adelante, RGPD) remitía su desarrollo a los Estados miembros, y que no requieren rango de ley orgánica. Este Real Decreto Ley entra en vigor el 31 de julio de 2018. La vigencia de esta norma queda supeditada a la aprobación de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al RGPD, y completar sus disposiciones.

La norma recientemente aprobada regula los siguientes aspectos: [Read more…]

Auditorías web: Cuando no son pitos son flautas, y si no una banda entera

23 de julio de 2018 Por

Normalmente, cuando auditamos una aplicación web mal programada en su backend, es habitual encontrarnos con vulnerabilidades de inyección SQL. Principalmente inyecciones ciegas basadas en error o, si tenemos mucha suerte, basadas en unión de tablas. Sin embargo, lo que no es muy habitual es encontrarnos con una inyección sql fuera de banda.

Éstas no solo dependen de que la aplicación sea vulnerable sino de que el servidor tenga habilitados mecanismos que nos permitan exfiltrar la información por una banda distinta a la propia aplicación web.

El propio hecho de que los resultados sean devueltos por una vía completamente diferente, unido a que éstas pueden ser muy variadas, hace que sea muy difícil utilizar herramientas automatizadas para explotar este tipo de vulnerabilidades. Aún así, en ciertos casos donde los tiempos de respuesta de un servidor sean muy lentos o irregulares, puede merecer la pena tratar de exfiltrar la información de dicha forma.

Como ejemplo vamos a echar un vistazo a una inyección que me he encontrado recientemente en una auditoría web.

En este caso, la vulnerabilidad resultaba muy extraña puesto que el parámetro se llamaba sql***, pidiendo a gritos una inyección, pero la web no devolvía errores y no parecía ser afectada por técnicas basadas en tiempo. Sin embargo, nuestro mejor amigo Burp active scan parecía convencido de que existía una inyección en dicho parámetro.
[Read more…]

Análisis de Linux.Haikai: dentro del código fuente

5 de julio de 2018 Por

Hace unos días conseguimos el código fuente del malware Haikai, el cual corresponde a una más de la multitud de implementaciones llevadas a cabo por el continuo reciclaje de código fuente perteneciente a diferentes botnets IoT. A pesar de que no hemos identificado ninguna novedad respecto a versiones de malware IoT anteriores, nos ha permitido la obtención de mucha información sobre las técnicas, mejoras y autores.

Comentar también que, según diferentes registros obtenidos, esta botnet ha estado actuando durante gran parte del último mes de junio.

En las siguientes líneas se analizará el código, así como las posibles atribuciones y las implementaciones no referenciadas en el hilo de ejecución, las cuales nos permiten adivinar que el código va mutando en diferentes líneas en paralelo para una misma función.

Así pues vamos a comenzar analizando la estructura de los ficheros. [Read more…]

He descubierto un delito… ¿y ahora qué?

22 de junio de 2018 Por

[Nota del autor: el autor de este artículo es un técnico, no un abogado. Aunque se ha consultado con varios juristas para corroborar que no se ha dicho ninguna barbaridad legal, se recomienda encarecidamente consultar con un profesional del ámbito legal de confianza en caso necesario].

[Nota del autor 2: quiero agradecer las ideas y comentarios ofrecidas por el grupo de Telegram de Informática Forense: https://t.me/forense, cuya actividad ha propiciado e impulsado el presente artículo].

Imaginemos que María es una analista forense que está trabajando en un caso de espionaje corporativo. Mientras está analizando unos ficheros comprimidos con unos nombres extraños, descubre horrorizada que están repletos de imágenes de pornografía infantil.

Imaginemos que Pepe es un pentester que tiene como objetivo hacerse con el control de un servidor de correo, teniendo que presentar como prueba correos de media docena de altos cargos. Una vez logrado su objetivo extrae varios correos al azar de las cuentas de correo, pero comprueba con indignación que contienen información sobre el soborno a un funcionario para la concesión de una importante contratación pública.

Tanto María como Pepe han firmado un estricto acuerdo de confidencialidad con la empresa en la que trabajan, en el que se especifica claramente que “toda la información de la que tengan conocimiento durante su actividad laboral debe ser mantenida en el más estricto secreto”. [Read more…]