Qué es un TDS (Traffic Director System)

31 de marzo de 2017 Por

La idea para escribir este post surgió a raíz de haber  investigado múltiples casos de infecciones en equipos a causa de los omnipresentes Exploit Kits (EK). Una visita a un sitio web que aparentemente no debía comportar ningún riesgo, acababa con el usuario llamando al servicio de seguridad porque no podía abrir sus ficheros y comentando que le aparecía una imagen en la pantalla pidiéndole dinero por recuperar sus datos. Y en otros casos ni tan siquiera eso, porque se había infectado con un RAT o un troyano bancario y no era consciente de ello.

Existen métodos de redirección simples que se implementan directamente en el servidor web; son opciones que permiten gestionar las visitas a dicho sitio web y adaptar su comportamiento a las preferencias o características de los visitantes.

[Read more…]

Estado de la Seguridad en Organismos Públicos

24 de marzo de 2017 Por

El 10 de febrero era la fecha de plazo que dio el Centro Criptológico Nacional (CCN) para que los Organismos Públicos den cuenta de sus indicadores en seguridad a través de la herramienta INES.

El Esquema Nacional de Seguridad (ENS) establece la obligación de evaluar regularmente el estado de la seguridad de los sistemas por parte de las Administraciones Públicas. […] Asimismo, el ENS dispone la necesidad de establecer un sistema de medición de la seguridad del sistema estableciendo un conjunto de indicadores que mida el desempeño real del sistema en materia de seguridad, en los siguientes aspectos:

  1. Grado de implantación de las medidas de seguridad.
  2. Eficacia y eficiencia de las medidas de seguridad.
  3. Impacto de los incidentes de seguridad.”

[Read more…]

La CCI rusa (XIII): el ecosistema de inteligencia. Patriotic hackers

23 de marzo de 2017 Por

El concepto de hacker patriótico puede entenderse como el atacante, en el ámbito ciber, cuyas actividades apoyan de una u otra forma a su país en un conflicto real, dirigidas contra el enemigo del estado ([1]). Junto a China, Rusia ha sido quizás uno de los países que más ha potenciado a estos colectivos, activos desde hace años en conflictos como el de Kosovo (1999), Estonia (2007) o Georgia (2008); en España, si ha existido algo similar alguna vez y en cualquier caso no state sponsored, podría ligarse a pequeñas acciones en la red contra el entorno etarra tras el asesinato de Miguel Ángel Blanco (1997), quizás a caballo entre el hacktivismo y los patriotic hacker (esto daría para un interesante debate), pero en cualquier caso muy alejado de las actividades de grupos patrióticos en otros conflictos o países.

En Rusia han sido identificados diferentes grupos que podríamos denominar afines al Kremlin (desde Chaos Hackers Crew, en 1999, hasta Cyber Berkut, activo en el conflicto con Ucrania) y a sus acciones, grupos que han focalizado sus actividades en defacements y, en especial, en ataques DDoS contra objetivos que han sido considerados contrarios a los intereses rusos. De cada una de las operaciones de estos grupos hay literatura y más literatura; un excelente resumen de las más notorias puede encontrarse en [8]. Ya en 1994, en la Primera Guerra Chechena, algunos grupos patrióticos usaron la entonces incipiente web para actividades de propaganda y operaciones psicológicas (PSYOP), en ese momento con victoria chechena, victoria que cambiaría de bando tiempo después (1999) en la Segunda Guerra Chechena ([3]). Años más tarde, en 2007, Rusia lanza una ofensiva ciber contra Estonia que detiene la operación de la banca online de los principales bancos estonios, bloquea el acceso a medios de comunicación e interrumpe comunicaciones de los servicios de emergencia ([4]); pero no hay muertos ni heridos en ninguno de los bandos, a diferencia de lo que sucede poco más tarde (2008) en Georgia, donde se produce una ofensiva híbrida -el primer caso conocido en la historia- compuesta por ciberataques y una invasión armada, conflicto en el que surgen diferentes grupos que animan a atacar -en especial, mediante DDoS a los sitios web que apoyan al bando contrario. Estos ataques de denegación era diferentes de los lanzados contra Estonia: no sólo se basaban en la inyección de grandes volúmenes de tráfico o peticiones contra el objetivo, sino que además empleaban técnicas más sofisticadas, como el uso de determinadas instrucciones SQL para introducir carga adicional en dicho objetivo, amplificando así el impacto causado.

Más o menos a la par que a Georgia le llega el turno a Lituania, también en 2008 y, como en Estonia, en respuesta a decisiones políticas que no gustan a sus vecinos rusos; en este caso el gobierno lituano decide retirar los símbolos comunistas asociados a la antigua URSS, lo que provoca ataques de denegación de servicio y defacements de páginas web para ubicar en ellas la hoz y el martillo. Unos meses después de las acciones en Lituania, comienzan ataques contra Kyrgyzstan, ya en 2009 y de nuevo tras decisiones políticas que no gustan a los rusos, ahora relativas al uso de una base aérea del país por parte de los estadounidenses, clave para el despliegue americano en Afganistán. En este caso se trata de ataques DDoS contra los principales ISP del país, que degradaron más todavía las ya precarias infraestructuras kirguisas, con origen en direccionamientos rusos pero, según algunos expertos, con muchas más dudas en la atribución que otros ataques del mismo tipo sufridos anteriormente por otros países. También en 2009 Kazakhstan, otra ex República Soviética -y por tanto de interés prioritario para la inteligencia rusa- sufre ataques DDoS tras unas declaraciones de su Presidente en las que criticaba a Rusia.

Por último, ya en 2014, Ucrania se convierte en otro ejemplo de guerra híbrida, tal y como sucedió en Georgia años atrás, y en una excelente muestra del concepto ruso de guerra de información, con ataques no solo DDos sino, en especial, de desinformación a través de redes sociales: VKontakte, supuestamente bajo control de los servicios rusos (ya hablamos de la relación de estos con empresas, tecnológicas o no), es la red social más usada en Ucrania, lo que ofrece una oportunidad inmejorable para poner en práctica esa desinformación ([6]). Por diferentes motivos, entre ellos la propia duración del conflicto, Ucrania es un excelente ejemplo del rol de los hackers patrióticos por parte de ambos bandos (Cyber Berkut por el lado ruso y RUH8 por el ucraniano), apoyando intervenciones militares tradicionales, poniendo en práctica guerra de información, operaciones psicológicas, DDoS, ataques a infraestructuras críticas…

La presencia y operaciones de los patriotic hackers rusos parece indiscutible; la duda es conocer la relación de estos grupos y sus acciones con el Kremlin y con sus servicios, si existe, y el grado de control que pueda tener el gobierno ruso sobre los mismos… e incluso su relación con otros actores de interés para la inteligencia rusa, como el crimen organizado, del que hablaremos en el próximo post de la serie. Acciones como las ejecutadas contra servidores ucranianos en 2014 por parte de Cyber Berkut mostraron unas TTP muy similares a las empleadas con anterioridad en Estonia o Georgia, lo que vincularía estas acciones no solo a grupos correctamente organizados, sino también induciría a pensar una posible vinculación con el Kremlin, a raíz de la hipotética atribución de estas últimas acciones con el gobierno ruso ([2]). En [9] se realiza un interesante análisis de la relación entre los hackers patrióticos, el cibercrimen y los servicios de inteligencia rusos durante el conflicto armado con Georgia, en 2008; adicionalmente, también en las tensas relaciones entre Rusia y Georgia se genera otra hipotética prueba, al menos especialmente curiosa, de la vinculación entre ataques, hackers patrióticos y servicios rusos: en 2011 el CERT gubernamental georgiano ([7]), ante un caso de ciberespionaje supuestamente ruso, decide comprometer voluntariamente un equipo con el malware usado por los atacantes, poner un fichero señuelo en el mismo y a su vez troyanizar dicho archivo con un software de control remoto. Cuando el atacante exfiltró el honeypot, el CERT pudo tomar el control de su equipo, grabando vídeos de sus actividades, realizando capturas a partir de su webcam y analizando su disco duro, en el que se encontraron correos electrónicos supuestamente entre un controlador -dicen las malas lenguas de algunos analistas que del FSB, quién sabe…- y el atacante, intercambiando información de objetivos y necesidades de información e instrucciones de cómo usar el código dañino

Con independencia de las relaciones de los servicios rusos con grupos de hackers patrióticos, la infiltración o el grado de control sobre los mismos, lo que sí es cierto es que en determinados casos el FSB ha evitado, de forma pública, ejercer sus funciones policiales para perseguir actividades a priori delictivas de los hackers patrióticos rusos: en 2002, estudiantes de Tomsk lanzaron un ataque de denegación de servicio contra el portal Kavkaz-Tsentr, que hospedaba información sobre Chechenia molesta para los rusos; la oficina local del FSB publicó una nota de prensa en la que se refería a estas acciones de los atacantes como una legítima “expresión de su posición como ciudadanos, digna de respeto” ([5]). Y lo que sí es indiscutible es que tras decisiones de un gobierno soberano que pueden ser contrarias a los intereses del gobierno ruso o simplemente a su opinión, dicho gobierno sufre ataques más o menos severos -en función de la importancia de dicha decisión- contra sus infraestructuras tecnológicas, al menos en zonas especialmente relevantes para la inteligencia y el gobierno rusos como son las ex Repúblicas Soviéticas; por supuesto, ataques que es difícil ligar de manera fehaciente al gobierno ruso o a hackers patrióticos de este país, pero que se producen en cualquier caso.

Para acabar, un detalle: los hackers patrióticos rusos no solo han ejecutado acciones contra terceros países, sino que también han operado dentro de la RUNet; uno de los casos más conocidos es el de Hell, actuando contra movimientos liberales rusos: opositores al gobierno, periodistas, bloggers… y del que (o de los que) han circulado indicios de su vinculación con el FSB (recordemos, inteligencia interior), en concreto con el CIS de este servicio. En 2015 se juzga y condena en Alemania a Sergei Maksimov, supuestamente Hell, por falsificación, acoso y robo de información; aunque se enfrenta a tres años de cárcel, la condena impuesta es mínima. ¿Era Maksimov realmente Hell? ¿Existían vinculaciones entre esta identidad y el FSB? ¿Era Hell parte del propio FSB, de la unidad 64829 de este servicio? Ni lo sabemos, ni probablemente nunca lo sepamos, como quizás tampoco sepamos si Nashi, una organización patriótica juvenil nacida al amparo del Kremlin -esto sí que lo sabemos, es público- organizó ataques DDoS no sólo contra Estonia en 2007, sino también contra medios de comunicación rusos contrarios a las políticas de Putin, e igualmente intentó reclutar a periodistas y bloggers para conseguir su apoyo en actividades contrarias a los opositores al gobierno ruso… al menos eso dicen los correos robados por Anonymous -presuntamente, como siempre- a Kristina Potupchik, portavoz de Nashi en su momento y, más tarde, “ascendida” a responsable de proyectos en Internet del Kremlin (esto también es público).

Referencias
[1] Johan Sigholm. Non-State Actors in Cyberspace Operations. In Cyber Warfare (Ed. Jouko Vankka). National Defence University, Department of Military Technology. Series 1. Number 34. Helsinki, Finland, 2013.
[2] ThreatConnect. Belling the BEAR. Octubre, 2016. https://www.threatconnect.com/blog/russia-hacks-bellingcat-mh17-investigation/
[3] Kenneth Geers. Cyberspace and the changing nature of warfare. SC Magazine. Julio, 2008.
[4] David E. McNabb. Vladimir Putin and Russian Imperial Revival. CRC Press, 2015.
[5] Athina Karatzogianni (ed.). Violence and War in Culture and the Media: Five Disciplinary Lenses. Routledge, 2013.
[6] Andrew Foxall. Putin’s Cyberwar: Russia’s Statecraft in the Fifth Domain. Russia Studies Centre Policy Paper, no. 9. Mayo, 2016.
[7] CERT-Georgia. Cyber Espionage against Georgian Government. CERT-Georgia. 2011.
[8] William C. Ashmore. Impact of Alleged Russian Cyber Attacks. In Baltic Security and Defence Review. Volume 11. 2009.
[9] Jeffrey Carr. Project Grey Goose Phase II Report: The evolving state of cyber warfare. Greylogic, 2009.

Imagen cortesía de Zavtra.RU

Estudio del uso de los TLD en organización

15 de marzo de 2017 Por

Con la fiebre de los TLD, actualmente ya existen alrededor de 1.530 diferentes según la lista publicada por IANA. Desde el punto de vista de un analista, esto puede suponer un problema a la hora de realizar una investigación. Quizá existan otras ventajas que hayan sido determinantes para que se haya decidido poner en marcha tantos TLD.

¿Cuál es el uso real que se le da a estos dominios? Quizá nos dé por pensar que desde nuestra organización no sale tráfico hasta ciertos TLD. Basta con hacer un par de consultas sobre los registros LOG del proxy y determinar cuáles son los diferentes TLD que se visitan y, en porcentaje, cuáles son los que más se visitan. Al lío.
[Read more…]

Mercure – Facilitando la pesca

14 de marzo de 2017 Por

El phishing, aunque es uno de los vectores de ataque de los más antiguos, sigue siendo uno de los preferidos y más utilizados hoy en día por los ciberdelincuentes, ya que en la mayoría de los casos ataca directamente al eslabón más débil: el ser humano.

Por suerte, los mecanismos de defensa han avanzado lo suficiente como para ponerlo bastante difícil. Un claro ejemplo son los avanzados filtros antispam que incorporan hoy en día la mayoría de los clientes de correo electrónico. Pero como sabemos, la seguridad total no existe, por lo que los criminales siempre encuentran un medio para que el phishing sea todavía una técnica de ataque eficaz.

En esta entrada vamos a analizar la herramienta Mercure,  utilizada para llevar a cabo ataques de este tipo de una manera sencilla, y que en nuestro caso puede servirnos para poner a prueba el grado de concienciación de los usuarios de nuestra organización (con las autorizaciones correspondientes). Una de sus mayores bondades es que es Open Source y se encuentra escrita en Python, por lo que las modificaciones resultan bastante sencillas de realizar. Podemos descargarla desde su GitHub. Tenemos dos maneras de instalar Mercure, utilizando el típico git clone o desplegando el docker que nos facilita su creador. Cualquiera que elijamos se encuentra perfectamente detallada en su README.

[Read more…]

Personal Countersurveillance (II): Camuflaje antireconocimiento Facial

13 de marzo de 2017 Por

En el artículo anterior de esta serie se habló sobre el reconocimiento facial y algunas de sus aplicaciones, con la intención de mostrar la cantidad de información que puede contener una imagen y las conclusiones (más o menos fundamentadas) que algunos particulares podrían extraer analizando nuestro rostro.

También se explicó cómo en 2001 aparece el algoritmo Viola-Jones. Un  sistema barato, escalable, preciso y en tiempo real que permite integrar el reconocimiento facial en dispositivos ligeros, suponiendo la democratización de la visión artificial y su llegada al gran público, integrándola en todo tipo de cámaras. Es a día de hoy uno de los sistemas más extendidos en software de procesamiento de imagen como OpenCV.

Figura 1: Adam Harvey, Algoritmo Viola-Jones evaluando una región facial clave durante un reconocimiento facial, Vimeo. CV Dazzle: Collaboration with DIS -> Look #1 (before). Imagen tomada de: https://vimeo.com/34545340 [Accedido el 16/02/2017]

[Read more…]

Personal Countersurveillance (I): Reconocimiento Facial

10 de marzo de 2017 Por

Aquellos que trabajamos en el sector de la ciberseguridad estamos acostumbrados a oír hablar de amenazas y medidas de defensa, pero casi siempre referidas a un entorno virtual. Sin embargo, existen otras dimensiones, como la seguridad física, que pueden afectarnos de diversas maneras.

Esta serie ha sido inspirada por la ponencia de Adam Harvey del Chaos Communication Congress de 2016: “Retail Surveillance / Retail Countersurveillance”. En ella abordaré algunos conceptos concernientes a sistemas de vigilancia y medidas de contra-vigilancia que pueden ser usadas para evitar el reconocimiento por parte de terceros.

Este primer artículo se centra en el reconocimiento facial, algunas de sus aplicaciones más controvertidas a día de hoy y sus implicaciones.

Figura 1: Anónimo. Imagen tomada de: http://luisjimenez.com/wp-content/uploads/2016/05/faception.jpg [Accedido el 15/05/2017]

[Read more…]

Recuperación de ficheros borrados con Scalpel

9 de marzo de 2017 Por

Recientemente, me encontraba terminando un script en bash, realizando pruebas para comprobar que estaba funcionando correctamente cuando, tras realizar unas modificaciones al script y volver a lanzarlo, comenzó a ejecutarse un borrado recursivo de los ficheros de la máquina, el temido ‘rm -rf‘. La típica ‘noobada‘ que esperas que nunca te ocurra sucedió.

Afortunadamente, el script se estaba ejecutando en una máquina virtual de pruebas como usuario no privilegiado, por tanto la máquina seguía estando operativa. Gracias a estas medidas de precaución pude comprobar el alcance de la broma y ver que todo el directorio /home del usuario se había borrado. Dicho directorio contenía el script que estaba escribiendo de modo que, se podría decir, que el script se había fagocitado a sí mismo, llevándose con él unas cuantas horas de trabajo.

[Read more…]

MOSH, mas allá del SSH

8 de marzo de 2017 Por

A día de hoy, no creo que sea necesario mencionar qué es el protocolo SSH (Secure Socket Shell) ya que sería realmente complicado vivir actualmente sin él. Por ello, se considera SSH a nivel global como la “mega” herramienta indispensable para cualquier labor de administración. Entre las ventajas de su uso podemos encontrar: acceso seguro a máquinas remotas, acceso a servicios en otras máquinas mediante la creación de túneles directos o reversos, creación de proxy socks, creación de canales seguros para la encapsulación de trafico de aplicaciones no seguras… etc.

Entre las inumerables ventajas de este protocolo, existe un punto que en ocasiones puede ser un gran inconveniente, el rendimiento de la conexión.

Para intentar dar solución a éste problema y añadir mejoras, surgió Mosh (mobile shell), aplicación que aporta diversas ventajas sobre la conexión SSH tradicional. Fue presentada en el USENIX Annual Technical Conference 2012 por Keith Winstein & Hari Balakrishnan, M.I.T. Computer Science and Artificial Intelligence Laboratory.

[Read more…]

Cómo gestionar las brechas de seguridad según el nuevo reglamento de protección de datos

7 de marzo de 2017 Por

Una de las novedades más importantes a mi juicio que contiene el Reglamento Europeo de Protección de Datos radica en la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados.

Esto significa que ante una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente. Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.

[Read more…]