Security Art Work

El pasado 27 de Abril, un grupo de piratas informáticos comprometieron los servidores del QNB (ver Wikipedia. (2016). QNB Group), el segundo banco comercial más grande de África y Oriente Medio, y filtraron más de 1,4 GB de datos con contenido personal de los clientes.

A pesar de no estar claro el origen, todo parece indicar que ha sido obra de Grey Wolves, una organización paramilitar de extrema derecha nacionalista ligada al Partido del Movimiento Nacionalista Turco (ver es.wikipedia.org. (2016). Lobos grises (paramilitares turcos)) al reivindicar su autoría mediante un vídeo de Youtube horas antes del filtrado de archivos (ver YouTube. (2016). Bozkurtlar claiming video over QNB breach).

La brecha de seguridad afecta a más de 100.000 cuentas bancarias que contienen cerca de 15.000 documentos, desde transacciones de los clientes de la entidad financiera, hasta números de identificación y otros detalles sobre operaciones con tarjeta de crédito. Sin embargo, lo que le otorga un interés especial no es el número de afectados (que ascienden a cientos de miles), sino que entre ellos se encuentran multitud de detalles de la familia real catarí, servicios secretos británicos, franceses y polacos, periodistas del canal de televisión Al Jazeera o el Mukhabarat.

[Read more…]

En esta entrada del blog nos gustaría enseñar cómo escribir reglas Yara en Koodous. Koodous tiene una forma un poco especial de funcionar con los APKs y la intención de este artículo es dejarla clara, además de explicar la estructura básica de una regla Yara. Nótese que el objetivo de este post no es cómo analizar malware para Android, sino cómo crear reglas Yara en Koodous, así que suponemos que el usuario tiene nociones de análisis y será capaz de extraer las cualidades que definan una aplicación.

Todas las intrucciones que se van a utilizar en esta entrada han sido probadas en sistemas Linux, aunque son fácilmente extrapolables a Windows y MacOs.

¿Qué debes conocer de Yara?

Yara es “The pattern matching swiss knife for malware researchers (and everyone else)” según su autor, Víctor M. Álvarez de VirusTotal. Este software es libre y gratis, bajo licencia Apache 2.0 y cualquiera puede colaborar a mejorar el proyecto. En Security Art Work ya os hemos hablado de esta herramienta y sus utilidades en diferentes artículos anteriores.

[Read more…]

Queridos lectores, ¿os suena haber visto un timbre que permite ver quién te llama? Estaréis pensando que de dónde he salido, que acabo de descubrir los videoporteros (versión moderna de los telefonillos), ¿verdad? Pues no, no me estoy volviendo loco. Vengo a hablaros de un geek algo novedoso que todos desearíamos tener en nuestra casa, pero que no nos gustaría que tuviese nuestro vecino.

Hace algunas semanas leía un artículo donde se hablaba de un timbre conectado a Internet; y cuando digo timbre me refiero específicamente al que hay al lado de nuestra puerta, no al de la puerta del edificio (que es el videoportero clásico). Sí, otro dispositivo más que se engloba dentro del término IoT (Internet de las Cosas). Lo interesante de este gadget está en su cámara, que permite al usuario visualizar quién llama a su puerta desde el smartphone, y lo que es aún mejor, dispone de un detector de movimiento. Es decir, que más que un timbre, es una cámara de videovigilancia con un telefonillo unifamiliar incorporado.

[Read more…]

En este post quiero continuar hablando de USB Rubber Ducky. En el post anterior hablé sobre USB RUbber Ducky y vimos un ejemplo de uso en sistemas Windows. Hoy quiero mostrar que también podemos crear payloads para otros sistemas como Android o MAC.

En el caso de dispositivos Android, debemos tener en cuenta que estos sistemas soportan conectar dispositivos HID, por lo tanto, podemos conectar teclados externos y manejar y controlar el dispositivo mediante el teclado.

Tras realizar unas pruebas, mediante un teclado externo, os comparto una serie de comandos que podríamos usar para manejar un dispositivo Android (las pruebas han sido realizadas con un dispositivo Android 4.4.2 KitKat):

[Read more…]

A todos los que nos dedicamos al mundo de la seguridad nos puede parecer extraño pensar que pueda haber personas que a estas alturas “piquen” en las múltiples estafas relacionadas con las tecnologías y comunicaciones, pero seguro que en nuestro entorno más cercano conocemos personas que han sido víctimas de estos delitos o han estado a punto de serlo, bien sea por desconocimiento o porque a través del engaño se les ha hecho desvelar sus datos personales, económicos etc.

No debemos olvidar que hay muchas personas que han empezado hacer uso de la tecnología desde hace relativamente poco tiempo, principalmente el colectivo de personas mayores, que pueden ser potencialmente víctimas de estos engaños.

[Read more…]

FastIR es un proyecto código abierto desarrollado por los expertos de CERT SEKOIA para ayudarnos en la gestión de incidentes de seguridad.

Esta herramienta ofrece la posibilidad de extraer MFT, MBR, tareas programadas, realizar volcados de memoria y guardarlo todo en archivos csv. Una de las características principales de FastIR es la capacidad de realizar las recolecciones forenses muy rápido; una recolección estándar tardaría menos de 1 y medio.

El software funciona en equipos de 32 y 64 bits y con los siguientes S.O:

1. Windows XP
2. Windows Server 2003
3. Windows Vista
4. Windows 7
5. Windows Server 2008
6. Windows 8/8,1
7. Windows Server 2012

[Read more…]

Escalofriante es la palabra que me viene a la cabeza a la luz de los datos recogidos en el último informe elaborado por el BID (Banco Interamericano de Desarrollo) y la OEA (Organización de los Estados Americanos), llamado “Ciberseguridad 2016 ¿Estamos preparados en América Latina y el Caribe?”

Estamos ante el primer informe que ha sido capaz de analizar el estado en el que se encuentran 32 países de América Latina y el Caribe en el ámbito de la Ciberseguridad. Antes de saber a dónde queremos llegar, es necesario saber en qué punto estamos y más hoy en día, donde el ciberdelito le cuesta al mundo un montante que ronda los 575.000 millones de dólares al año, lo que se puede valorar en un 0,5 % del Producto Interior Bruto mundial.

El número de ciberdelitos está en constante crecimiento, y por tanto la exposición de las organizaciones a este tipo de delitos es mayor, con las consecuentes pérdidas económicas que puede suponer para dichas organizaciones. Este tipo de delito no solo afecta a entidades privadas, sino que los propios sistemas de información de entidades gubernamentales se encuentran a merced de ataques de esta índole. Con el objetivo de que esto no ocurra, lo primero es saber en qué punto se encuentran estas regiones y después comenzar a implantar medidas que reduzcan los niveles de riesgo.

[Read more…]

En diciembre el CCN publicó la guía 809 sobre “Declaración y Certificación de Conformidad con el ENS y distintivos de cumplimiento”.

Se trata de una guía que por un lado define un marco de auditoría y revisión de la conformidad con el Esquema Nacional de Seguridad (en adelante ENS), y por otro incluye explícitamente en el alcance a organizaciones del sector privado que participen en la prestación de servicios afectados por el ENS.

Es cierto que hasta ahora los sistemas dentro del alcance del ENS debían ser auditados cada dos años, pero los requisitos de esta auditoría no habían sido definidos. Además, si la administración pública contrataba servicios TI afectados por el ENS, era de esperar que durante su auditoría se auditase también a sus proveedores, de modo que la nueva guía parece no incluir demasiados cambios.

[Read more…]

Esta entrada corre a cargo de @tunelko, analista de seguridad miembro de @DefConUA y apasionado jugador de competiciones CTF.

Disclaimer: Este artículo es simplemente la opinión de su autor a través de la experiencia en años de competición. No intenta establecer base de ningún tipo en modo alguno.

A lo largo de estos años hemos ido leyendo cada vez más y más acerca de las llamadas competiciones de seguridad informática o “Capture The Flag” en el sector. He tenido la suerte de participar en algunas competiciones CTF, tanto nacionales como internacionales, en equipo o de forma individual, y en las más variadas formas que uno pueda imaginar. Si lees este blog, ya habrás visto algún artículo relacionado con el tema, así que supongo que ya sabrás en qué consiste eso de los CTF, ¿verdad? :)

De forma muy resumida podemos decir que son competiciones entre personas o equipos para conseguir superar un número determinado de pruebas técnicas de diversas disciplinas. Aquí os dejo un enlace donde podéis ampliar toda esta información inicial.​

[Read more…]

En los últimos días todos hemos sido conscientes del bombazo mediático que ha supuesto la filtración informativa de 2,6 terabytes de documentos confidenciales de la firma de abogados Mossack Fonseca por parte de una fuente anónima al periódico alemán Süddeutsche Zeitung, que posteriormente compartió con el Consorcio Internacional de Periodistas de investigación, que revelaban el ocultamiento de propiedades de empresas, activos y evasión de impuestos de personalidades de distinta índole, desde jefes de Estado, líderes políticos, deportistas, etc. a través de compañías offshore.

Fuente y trabajo periodístico

La fuente anónima, tomó contacto directo con el periódico alemán y  tan solo pidió a cambio de la información, que se tomaran ciertas medidas que garantizaran su anonimato y seguridad, como por ejemplo exigir que todas las comunicaciones establecidas se realizarán de forma cifrada y no permitir encuentros personales.

[Read more…]