Security Art Work

No dejamos de ver películas en las que un hacker con un portátil es capaz de desactivar las alarmas de una casa para que sus compañeros pueden entrar a robar sin ser detectados. Parece de broma, pero, ¿lo es? ¿Hasta que punto es real esto?

Andrew Zonenberg de IOActive ha realizado un estudio sobre las alarmas SimpliSafe, una compañía que define sus dispositivos como “Low Cost”, fáciles de instalar y sin mantenimiento.

Estas alarmas se componen de una estación base, de un teclado y sensores, las cuales emiten señales de Radio Frecuencia en la banda ISM (Industrial, Scientist and Medical) a 433 MHz y hacen uso de una topología en estrella, en la que todos los dispositivos se comunican a través de un punto central, en este caso la estación base.

[Read more…]

Hace un tiempo escribí acerca de las agendas digitales que últimamente se utilizan tan alegremente en muchas guarderías y colegios. Es más, este tipo de aplicaciones parecen que salen de debajo de las piedras, levantas una y ahí aparece otra nueva. ¡Champiñones las llamaría yo!

Bien, en mi último post con el que tuve el placer de deleitar a nuestros queridos lectores, hablé concretamente de la seguridad (o falta de ella) de la aplicación que se utiliza en la guardería donde va mi “enano”. Comenté que seguiría investigando para ver hasta qué punto la aplicación en cuestión era segura, pero lamentándolo mucho, unas veces por la carga de trabajo y otras por motivos personales, me ha sido imposible llevar a cabo esta acción.

[Read more…]

En el artículo anterior, comentábamos la importancia de la seguridad en aplicaciones móviles, y presentábamos la herramienta Mobile Security Framework (MobSF), haciendo especial hincapié en la forma de utilizarla para realizar el análisis de código estático.

Continuando con el mismo ejemplo que utilizamos para el anterior artículo (APK de Android), mostraremos brevemente cómo funciona el análisis dinámico con MobSF y el potencial que tiene.

El entorno puede ser configurado de varias formas, pudiendo elegir la que más se adapte a las necesidades del técnico de seguridad o a la situación en la que nos encontremos. Podríamos utilizar la propia máquina virtual que el framework proporciona, importándola a VirtualBox, que es la que utilizaremos a continuación. También tenemos la capacidad de utilizar un dispositivo Android real o una máquina virtual diferente, por ejemplo, preparada por nosotros mismos. Por el momento, no podemos ejecutar análisis dinámicos con iOS. Esperamos que se añada dicha funcionalidad en un futuro, ya que el proyecto se encuentra en constante evolución.

[Read more…]

¿Quién no lleva su smartphone a mano en este mismo momento? A la vista de todos está que éstos dispositivos se han convertido en algo esencial pero, por este mismo motivo, se convierten en los más crítico en cuanto a seguridad se refiere. ¿Que ocurriría si perdieras tu móvil o si éste se ve afectado por un incidente de seguridad, por ejemplo, una intrusión? ¿Qué información podrían conseguir? ¿Qué acciones podría llevar a cabo un tercero malintencionado? Sólo de pensarlo asusta.

No sólo hay que tener en cuenta las vulnerabilidades del propio sistema operativo, sino también, y quizás más importante, las de las propias aplicaciones (App), las que pueden suponer un punto de entrada perfecto para un potencial atacante, ya sea mediante la explotación de vulnerabilidades en la propia aplicación o, como está de moda últimamente entre los ciberdelincuentes, mediante malware.

En esta serie de artículos se pretende realizar una breve aproximación a la herramienta Mobile Security Framework (MobSF), mostrando sus capacidades. Queda a cargo del lector la exploración práctica, profundizando en análisis más completos.

MobSF es una herramienta especialmente diseñada para el análisis de seguridad de aplicaciones móviles, tanto Android como iOS, con la capacidad de realizar análisis estáticos (de código) y dinámicos, bastante completos y con parte del proceso automatizado. Además, presenta la información de forma elegante e intuitiva mediante su interfaz, pudiendo también obtener el informe completo en formato PDF.

[Read more…]

Los wearables han llegado a nuestras vidas para entretenernos, facilitarnos determinadas acciones e incluso controlar parte de nuestras vidas.

Se denomina wearable a todo aquel dispositivo que llevamos encima interactuando con nosotros y con nuestros dispositivos para realizar alguna tarea (bien sea relacionada con la salud, el deporte, el entretenimiento…).

Aunque llevan varios años en el mercado, es en este año 2016 cuando se espera el verdadero boom. La prueba de ello es que en el, recientemente celebrado, Mobile World Congress, se dedicó un pabellón solo para los wearables y el Internet de las Cosas. Además, en este mismo evento quedó más que confirmado que la tecnología wearable está repuntando con bastante fuerza y, por lo tanto, continuará siendo tendencia durante años.

[Read more…]

DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) es una vulnerabilidad grave -de esas con página Web, paper técnico y hasta logo, como tiene que ser :)-, que afecta a HTTPS y otros servicios que dependen de algunos de los protocolos criptográficos más conocidos de la seguridad en Internet, SSL y TLS.

Los protocolos anteriormente mencionados son los encargados de evitar que se pueda leer la comunicación por terceros cuando se navega por la web, se utiliza en el correo electrónico, en el comercio online o en el envío de mensajes instantáneos, sin embargo, esta nueva técnica permite romper el cifrado y leer o robar cualquier tipo de información sensible.

[Read more…]

¿Qué es memcached? Memcached es un sistema de cache de objetos encargado de guardar los elementos cacheados en la memoria RAM del servidor, permitiendo acelerar el acceso a los mismos. Utilizando el script phpMemcachedAdmin es posible observar en tiempo real información sobre el estado y el funcionamiento del servicio Memcached, y datos del funcionamiento de un cluster de varios servidores Memcached. Otra funcionalidad que ofrece es la posibilidad de ejecutar comandos en Memcached directamente desde la interfaz web.

Pero no todo lo que reluce es oro, ya que no posee ningún sistema de autenticación de acceso y, en la mayoría de las veces, la persona “responsable” lo suele dejar accesible para cualquier usuario desde Internet. Pocos sitios implementan una “barrera” de seguridad mediante la utilización de ficheros .htaccess y .htpasswd, y los problemas pueden surgir cuando se encuentra una vulnerabilidad que compromete la seguridad como la que se expone en este artículo.

[Read more…]

La entrada de hoy viene a cargo de Alberto Rodríguez, @albert0r. ¿Sobre qué? Evidente: la RootedCON.

En apenas unos días comenzará uno de los congresos de seguridad informática más importantes de España y Europa. Tendrá lugar los días 3, 4 y 5 de Marzo de 2016 en Kinépolis Madrid Ciudad de la Imagen.

Los días previos a la celebración del Congreso tendrán lugar los RootedLabs&Bootcamps que este año tendrán lugar en el Eurostars i-Hotel en la Ciudad de la Imagen de Madrid.
[Read more…]

¿Cuántos de nosotros hemos utilizado la red TOR o un proxy anónimo para navegar de forma anónima? Y, ¿cuántos hemos tenido en cuenta que las peticiones DNS que realiza nuestra máquina puede que no sean enrutadas a través de la red TOR? Este simple descuido puede ser usado para identificarnos mediante algún tipo de correlación. Por ejemplo, un usuario que ha hecho consultas DNS de un dominio que posteriormente ha sido atacado a través de TOR. Aunque es complicado llegar a esta situación, puede darse el caso.

Actualmente es posible utilizar el propio cliente de TOR para enrutar las peticiones a través de esta red, u otras herramientas como dnsmasq, que actúa como un proxy capaz de redirigir las peticiones DNS a través de una red determinada. Aun así, las peticiones DNS realizadas no están cifradas, algo totalmente deseable. De esta forma, da igual si las peticiones son capturadas, ya que seguiremos manteniendo el anonimato sobre las consultas realizadas.

[Read more…]