Security Art Work

Atrás quedaron los turrones, compras, regalos, brindis y las uvas que acompañan a las campanadas. Por cierto, ¡feliz 2016! Disculpad el retraso pero ya conocen el refrán: más vale tarde que nunca. ;)

Esperamos que hayáis entrado con buen pie en el nuevo año y que no hayáis sido uno de los agraciados que, mientras prestaban atención a las campanadas y procuraban no atragantarse con las uvas, veían invadida su vivienda (vacía, en esos momentos). Con esta introducción ya podéis imaginar sobre qué trata la experiencia que os voy a contar.

Hace unas semanas nos juntamos el grupo de amigos para celebrar el fin de año en casa de unos compañeros. Una noche divertida en la que todo transcurrió con normalidad (con la “normalidad” característica de una Nochevieja [guiño, guiño]). Habiendo pasado una noche estupenda sin incidentes más allá de alguna copa rota y la potencial resaca, en la primera mañana del año, un amigo tramitaba un parte de robo con la empresa aseguradora de la vivienda. ¡Ouch! Esto no es precisamente entrar en el año nuevo con buen pie.

[Read more…]

Mandingo se define como una persona a la que le gusta la seguridad informática, el hacking y la investigación. Lo que no dice es que se ha forjado una gran trayectoria y se ha ganado el respeto de muchos profesionales gracias a ese entusiasmo que aporta a todo lo que hace. Actualmente trabaja como analista de malware en Panda Security, y me ha dedicado un rato para contarme su visión sobre una de las amenazas más activas últimamente, el ransomware, así como el papel que juegan las casas antivirus en la batalla por la seguridad.

1. Empezamos por tus comienzos en seguridad.

Mientras estaba estudiando, cuando empezaban a moverse las primeras redes universitarias, descubrí que me gustaba saber cómo funcionaban esas redes que permitían conectar a unas personas con otras. En un principio eran redes muy bien diseñadas pero que a veces fallaban. Por ahí me fui metiendo en seguridad y todo lo relacionado con el hacking.

Posteriormente empezó a surgir, relacionado con esas redes clásicas existentes, Internet; y junto a él un movimiento de personas que empezaba a investigar el potencial de cómo explotar esas redes y como defenderlas.

[Read more…]

Todos los días se producen infecciones de equipos que, si bien no suponen un gran impacto en la organización en la mayoría de casos, sí conviene actuar para que el cúmulo de éstos no suponga un riesgo para la información de la misma. Además, ante el desconocimiento de cualquier actividad sospechosa que pudiera estar realizando un activo, conviente tomar medidas antes de encontrarnos con un incidente grave.

En esto consiste la respuesta ante incidentes en equipos de usuario. Aunque sabemos que los antivirus son necesarios en cualquier equipo (sin descuidar los servidores), no impiden que los sistemas acaben comprometidos, por lo que otros mecanismos de detección son necesarios, como los NIDS o HIDS. Una vez se detecta un posible compromiso en un equipo, debemos confirmarlo antes de emprender las acciones de erradicación, por lo que viene bien una respuesta rápida ante incidentes que permita analizar el equipo de forma ágil y con el mínimo impacto en la actividad del usuario.

[Read more…]

Empezaré contextualizando. Supongamos que nos hemos convertido en administradores  de sistemas de una gran empresa y comenzamos a darnos cuenta de que cada vez más empleados se están conectando a la red corporativa desde su smartphone o tablet personal. Para más inri, dichos empleados no están muy concienciados en términos de seguridad y mientras están trabajando con datos sensibles de la empresa, se encuentran descargando apps o accediendo a páginas webs afectadas por malware.

Ante esta situación podemos deducir que existe un descontrol sobre el uso de los dispositivos personales de los empleados sobre la red corporativa. Esta acción cada vez más común en las empresas está asociada al concepto BYOD, del que ya hablamos aquí en 2012 y cuatro años después continua en evolución.

La pregunta que se nos viene a la cabeza rápidamente es ¿cómo podemos gestionar esta situación? Una vía es repartir a todos los empleados un dispositivo corporativo configurado previamente en aras de que no utilicen el suyo personal, no obstante esta solución conlleva un gran desembolso. Otra posible alternativa y de la que vamos a hablar en este post es la gestión de forma centralizada mediante la herramienta MDM “Mobile Device Management”.

A través de las 6 populares W (what, why, where, when, how and who) intentaré explicar en que consiste este software. Allá vamos…

What? (¿Qué es?) MDM es un software que permite proteger, monitorizar y administrar el uso de los dispositivos sobre la red corporativa de la empresa.

Why? (¿Por qué?)
Es básico, si una empresa permite que usuarios se conecten con sus equipos a la red corporativa, se requiere de una seguridad para controlar el acceso y las acciones realizadas, por lo contrario los datos estarían totalmente expuestos ante cualquier ataque o pérdida del dispositivo por parte del propio empleado. Además MDM ofrece las siguientes ventajas:

• Seguridad
• Control
• Gestión de aplicaciones

Where? (¿Donde?)  El software MDM sería necesario para aquellas empresas con un número de empleados elevado. Cuantos más empleados se conecten a la red corporativa y traten con datos o aplicaciones de la organización, proporcionalmente aumentan las posibles amenazas.

When? (¿Cuando?) Existen varios casos por los cuales se puede decidir implantar el software MDM en una organización.

• Uso de BYOD
• Necesidad de los datos y cifrado de sesión
• Control integral
• Dispositivos con diferentes sistemas operativos
• Incumplimiento de la seguridad

How to choose MDM? (¿Cómo elegir MDM?) Depende absolutamente de las necesidades particulares de cada organización. Microsoft, Airwatch, Symantec son algunas de las empresas que ya ofrecen dicha solución en modalidad SaaS.   A la hora de elegir una de las soluciones MDM, la empresa se puede basar en los siguientes factores:

• Política de los dispositivos
• Escalabilidad
• Seguridad
• Conformidad
• Configuración remota
• Análisis

Who? (¿Quién?) A la hora de implantar el software MDM en una organización, la propuesta debería de partir del Comité de Seguridad de la misma. Actualmente existen varias empresas que ofrecen este servicio y que son compatibles con Microsoft Exchange por ejemplo o con los diferentes dispositivos Android, Apple iOS, BlackBerry, Symbian, Windows Mobile, Windows Phone desde la misma consola de administración.

En el siguiente cuadro se pueden ver las funcionalidades y los problemas que puede ofrecer el software MDM (fuente: [1]):

En el siguiente video podéis saber más sobre MDM:

Fuentes:

1. Rhee, Keunwoo, Woongryul Jeon, and Dongho Won. “Security requirements of a mobile device management system.” International Journal of Security and Its Applications 6.2 (2012): 353-358.
2. https://eugene.kaspersky.es/mdm-control-de-dispositivo-moviles/
3. http://www.air-watch.com/es/soluciones/administracion-de-dispositivos-moviles
4. http://www.track.es/mdm-mobile-device-management/

Imagen: https://pixabay.com/es/tel%C3%A9fono-m%C3%B3vil-llamar-alcanzable-586268/, por niekveerlan.

Cuando hablamos de “seguridad de la información” estamos acostumbrados a pensar en contraseñas, virus, actualizaciones y hackers en sótanos oscuros iluminados solamente por su pantalla de fósforo verde (vale, igual lo del fósforo verde está un poco anticuado, pero todo el mundo sabe que a los hackers les molesta la luz).

Sin embargo, cuando empiezas a trabajar en estos temas descubres que la seguridad de la información llega mucho más allá. Y te encuentras con cosas como que la ingeniería social es un método cada vez más utilizado para poner en riesgo la información de los usuarios. O el que es, para mí, el riesgo más preocupante: la inconsciencia. Muchas veces, no valoramos la importancia de la información que manejamos, y en ocasiones por descuido la vamos regalando por ahí.

No quiero decir que los usuarios seamos un problema de seguridad, pero podemos convertirnos en uno, y muy serio.

[Read more…]

Nosotros hemos sido muy buenos y nos hemos portado muy bien, o eso creemos. Sin embargo, en el mundo de la ciberseguridad hay otros que se han portado muy mal y según los pronósticos de los expertos, este año que comienza se portarán aún peor. Por eso os pedimos estos regalos para poder hacer frente a las principales amenazas y tendencias que veremos en 2016:

IoT con mayor seguridad. Controlar los objetos que nos rodean desde nuestro smartphone está muy bien, lo que no podemos permitir es que a través de las conexiones de estos objetos nos controlen a nosotros. Esto es lo que puede suceder en 2016 si la industria del IoT continúa desarrollando sistemas de conexión a Internet para relojes, pulseras de actividad, televisores, termostatos, coches y hasta monitores para bebés sin tomar en cuenta la seguridad de los mismos. A medida que su popularidad crece, estos objetos se hacen cada vez más atractivos para los ciberdelincuentes porque representan accesos fáciles a los móviles de los usuarios, el verdadero objetivo, que a su vez son las puertas a otros botines más suculentos como puede ser la información clave de una organización.

Es por ello que debemos ser prudentes a la hora de utilizar estos maravillosos artefactos y esperemos que mejoren sus sistemas de seguridad este año.

Soluciones para librarnos de hardware infectado. Según los expertos en malware, durante 2016 los ataques perpetrados a través de firmware infectado crecerán en popularidad. El firmware es el software que maneja físicamente al hardware y el que carga el sistema operativo. Este tipo de infección, al estar oculta en el firmware, permanece a pesar de que se formatee por completo el hardware y se reinstale el sistema operativo, convirtiéndose en un problema persistente para quien tenga la “suerte” de toparse con él en un disco duro o USB, por ejemplo.

Este método ya lleva varios años utilizándose, sin embargo, se pronostica que su uso se extenderá en 2016 porque en el mercado de la ciberdelincuencia se comienzan a comercializar herramientas y asistencia para facilitar su aplicación como es el caso del UEFI rootkit.Aunque existen ciertas soluciones para este malware, esperemos que este año salgan a la luz opciones más sencillas y accesibles para todos.

No ser víctima del ransomware. El secuestro de un ser querido es una de las cosas más terribles que puede vivir una persona, y aunque nuestra información no es una persona sí puede ser lo suficientemente valiosa como para hacernos pasarlo muy mal si somos víctimas de un ransomware. Como es un negocio muy lucrativo, se prevé que esta forma de malware aumente en 2016 ampliando su target a sectores industriales, financieros y gobiernos locales de países ricos donde las víctimas puedan pagar rápidamente un rescate para recuperar su información. El desarrollo continuo de nuevas formas de infección hace aún más difícil luchar contra el ransomware.

Uno de los problemas es que bo es suficiente evitar enlaces maliciosos, con solo visitar una página web aparentemente inofensiva podemos caer en la trampa. Sin embargo, existen algunas medidas que podemos aplicar para evitarlo como mantener actualizados nuestros navegadores y usar plugins que nos indiquen la reputación de los sitios web que visitamos.

Más concienciación en ciberseguridad. Aun cuando la ciberseguridad empieza a ser un tema popular tanto en medios de comunicación como en empresas, organismos públicos y otras organizaciones, el uso cada vez mayor de dispositivos móviles tanto en el ámbito personal y laboral exige estar al día para evitar las nuevas amenazas que tienen como objetivo estos medios. Es muy “normal” que nos instalemos una app sin leer la información y funcionalidades que requiere para funcionar, o que demos acceso a toda nuestra información sin pensar dos veces en las consecuencias.Los móviles representan para los ciberdelincuentes puertas de entrada a la información clave de una organización y se prevé que para el 2016 los ciberataques a través de estos dispositivos aumenten en paralelo con su uso.

Cloud segura. Estamos cada vez más en la nube y eso nos permite disfrutar de grandes beneficios pero también nos exige poner los pies en la tierra si no queremos quedar expuestos a grandes riesgos como, por ejemplo, encontrar que nuestra información “privada” está siendo indexada por Google. En 2016 la nube estará en el punto de mira de los ciberdelincuentes porque se prevé que cada vez más empresas usen repositorios de información en la nube. Algunas de ellas sin considerar las medidas de seguridad que implementan para salvaguardar su información, lo que se presentará como un factor clave a la hora de seleccionar un proveedor de servicio.

Debemos ser muy cuidadosos y exigentes a la hora de seleccionar a nuestros proveedores y configurar el servicio. Y por otra parte, esperemos que los proveedores continúen mejorando sus sistemas de seguridad para garantizar la debida protección y privacidad de los datos de sus clientes.

No más passwords =) Olvidarnos de hacer combinaciones de caracteres alfanuméricos rocambolescas para cada uno de nuestros dispositivos y aplicaciones que después no recordamos y que pueden ser descubiertas con facilidad parecía un sueño inalcanzable, pero en 2016 quizás ya sea una realidad.Todo parece indicar que nuevos métodos de autenticación más seguros, eficientes y amigables basados en sistemas biométricos, geolocalización, proximidad de Bluetooth y pictogramas serán puestos en nuestras manos por las grandes compañías tecnológicas.

Lucha contra el terrorismo y la violencia en Internet. El ataque terrorista de Paris ha sido uno de los sucesos más tristes e impactantes de 2015, pero es solo la punta del iceberg de un fenómeno que tiene años y en el que han perdido la vida muchas personas en diferentes partes del mundo: el surgimiento del llamado “estado islámico”, en el cual Internet y especialmente las redes sociales han servido de medios de difusión y captación de nuevos adeptos.Resulta curioso que en Facebook no puedas publicar fotos de desnudos pero sí de armas.

Esperemos que en 2016 los gigantes de Internet como Google, Facebook y Twitter, sin vulnerar la privacidad de sus usuarios, claro está, colaboren y se comprometan de manera más activa a la hora de detectar y neutralizar a grupos violentos en general.

Aplicaciones y sistemas de seguridad amigables y chulos. Basta ya de aplicaciones y sistemas de seguridad incomprensibles, espantosos y pesados. Gracias a que la seguridad de la información cobra cada vez más importancia para organizaciones y personas en general, el desarrollo de soluciones potentes pero también centradas en el usuario con diseños atractivos, intuitivas y fáciles de usar está en auge. Un ejemplo de ello son los nuevos sistemas de autenticación que comentamos ya anteriormente. Para los desarrolladores, la usabilidad y el diseño han dejado de ser aspectos secundarios y se han convertido en una prioridad para poder competir con otras opciones en el mercado.

Esperemos que esta tendencia aumente en 2016 y así los sistemas de seguridad dejen de ser definitivamente un pesado y feo lastre para el usuario.

Y podríamos continuar con muchas cosas más pero no os queremos agobiar, queridos reyes magos. Ya sabemos que vendréis bastante cargaditos este año así que nos despedimos deseándoles a todos nuestros lectores un 2016 lleno de seguridad pero también de muchos éxitos.

Se les quiere ;)

Fuentes:

• http://www.mcafee.com/sg/resources/reports/rp-threats-predictions-2016.pdf
• http://www.inc.com/will-yakowicz/5-cybersecurity-predictions-for-2016.html
• http://www.csoonline.com/article/3013060/security/top-15-security-predictions-for-2016.html

Se acerca el fin de año y ha llegado la hora de echar un vistazo atrás y ver qué nos hemos dejado en el camino. Seré breve, se lo prometo. Creo. Bueno, a lo mejor. La verdad es que lo dudo. No, no seré breve; es imposible que yo sea breve.

Me gustaría comenzar con un viejo amigo. Y es que el año 2015 ha sido la confirmación de que, a pesar de tener una dura competencia, Flash está firmemente decidido a no ceder su puesto en lo alto del podio como el producto (probablemente) más inseguro de los últimos años; es raro el mes que no sale una actualización que soluciona N+1 problemas de seguridad, condimentada de vez en cuando con un alegre 0-day que hace las delicias de (casi) todo el mundo. El ataque a Hacking Team en julio no ayudó, y algunas voces autorizadas comenzaron a pedir que los chicos de Adobe sacrificasen a la bestia para conseguir al fin algo de paz. Como ya saben, la bestia continúa suelta, así que tengan cuidado.

[Read more…]

Aunque la noticia tiene poco más de 12 horas (apareció ayer en algunos medios chinos), no ha tardado mucho en propagarse por los medios especializados norteamericanos. Entre otros, ArsTechnica, Bruce Schenier, Wired o Dan Kaminsky tienen breves comentarios sobre las especulaciones realizadas por los investigadores chinos Lian Li y Huan Chen, de la Peking University, a partir de una investigación realizada recientemente.

Al parecer, todo surgió por casualidad a finales de 2013, mientras Li y Chen realizaban el análisis forense de tres equipos que habían sido comprometidos. Al analizar diferentes paquetes de actualización de Adobe almacenados en el equipo (que se sospechaba que podía haber servido como vector de ataque para la infección), se detectó que todos ellos presentaban una estructura similar: la propia actualización y un bloque de datos cifrado C1 que podía variar de 65536 bytes a varios MBs.

[Read more…]

Como suele ser habitual por estas fechas, ahí va nuestra felicitación de parte de todo el equipo de Security Art Work. Les deseamos unas felices fiestas y un próspero 2016. Pórtense bien, tengan cuidado ahí fuera, pásenlo lo mejor que puedan y pórtense bien. Sí, está repetido.

¿Qué?

Ah, eso. Sí, claro, si quieren verla tendrán que ejecutarla. Les garantizo que es inofensiva, a no ser que el ascii art les dé urticaria.

#!/bin/sh
# v0. Parametrización del año en curso para que nos sirva para los siguientes
# v1. Como somos muy de felicitar el año también en enero, se contempla este 
# caso

curr=`date +%Y`
if (( `date +%m` == 01 )); then
	Y=$curr
else
	Y=`expr $curr \+ 1`
fi

cat <<EOF |sed -n '1!G;h;$p' |sed s/Z/" "/g |tr SECURITYAtWOrK .:\\\\@\(\)_\|\'\`adel
ZZZZZZi0CSZZZZZZZZZZZZZZZZZZZ,0GEZ
ZZZZ,G0iZZZZZZZZ,,SZZZZZZZZZZZZL0LSZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ~
ZZZ100;ZZZZZZZSfLLLEZZZZZZZZZZZZ100EZZZZZZZZ~ZZZZZZZZZZZZZZZZZZZZZZZRUI
ZZ100;ZZZZZZZZZ;LL1SZZZZZZZZZZZZZt00;ZZZZZZRUIZZZZZZZZZZZZZZZZZZZZtCYTY
Zi00fZZZZZZZZZZZZZZZZZZZZZZZZZZZZSC00,ZZZZZYTYCTTTTTTTTTTTTTTTTTTTZZY-Y
SG00,ZZZZZZZZZZ,iiiSZZZZZZZZZZZZZZ;00CZZZZZY-YZZZ¡FrKizZNWviOWO!ZZZZYZY
100CZZZZZZZZZZZELLLSZZZZZZZZZZZZZZSG00;ZZZZYZYZZZZZZZZZZZZZZZZZZZZZCY-Y
C00fZZZZZZZZZZZ,LLLSZZZZZZZZZZZZZZZC00fZZZZY-YCTTTTTTTTTTTTTTTTTTTTZRUI
G00tZZZZZZZZZZZ,LLLSZZZZZZZZZZZZZZZL00LZZZZRUIZZZZZZZZZZZZZZZZZZZZZZZT
G00tZZZZZZZZZZZSLLLSZZZZZZZZZZZZZZZf00LZZZZZT
C00fZZZZZZZZZZZSLLLSZZZZZZZZZZZZZZZC00fZZZZ^^^[T]^^^Z	ZZZZZZ/AZZZZtCZZ
i00GZZZZZZZZZZZ,LLfSSZZZZZZZZZZZZZSG00;ZZZZ/ASAASASCZ	ZZZZZZZ//ZZCC
SG00EZZZZZZZZZZELLLiSZZZZZZZZZZZZZ;00CZZZZZZ/SASASCZZ	ZZZZZZtA//CCAA
ZE00CZZZZZZZZZZiLLLLLtE,EiiZZZZZZZC00EZZZZZZ/SAASACZZ	ZZZZtERT>RI<TIEAZZ
ZZE00tZZZZZZZZSfLL1SiLLLLLL;ZZZZZf00EZZZZZZZZ/ASACZZZ	ZZZZEoETZZZZTEEEZ
ZZZ,G01ZZZZZZZZZSZZSZSZSSZSZZZZZt0G,ZZZZZZZZZ/SSACZZZ	ZZZZSEEEAAAAEoESZZZZ
ZZZZZf0LZZZZZZZZZZZSZZZZZZZZZZZL0fZZZZZZZZZZZZ/SCZZZZ	ZZZZZSEEoEEEEESZZZZ
ZZZZZZSCG;ZZZZZZZZZZZZZZZZZZZ;0CSZZZZZZZZZZZZZZ*ZZZZZ	ZZZZZZZTSSSSTZZZZZ
EOF

echo "\nTodo el equipo de Security Art Work os desea FELICES FIESTAS y PRÓSPERO $Y"

Hace poco estuve trasteando con un juguetito nuevo que me regalaron y se trata del USB Rubber Ducky. Sí, con qué poco se puede mantener a un friki entretenid@ durante días! (Señores Reyes Magos, este año he sido muy buena también, ejem ejem).

De forma resumida, USB Rubber Ducky es una herramienta hardware de hacking, internamente tiene un procesador, aunque a simple vista parece un USB, aunque emula ser un teclado, de tal forma que cuando se conecta a un ordenador/dispositivo éste lo reconoce como un teclado y ejecuta las instrucciones que tenga cargadas en una memoria SD que lleva.

[Read more…]