Security Art Work

En un post anterior comenté que estaba pendiente la publicación de la actualización del Esquema Nacional de Seguridad. Pues como podéis imaginar por el título de esta entrada, El Consejo de Ministros del pasado viernes 23 de octubre aprobó un Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, que modifica otro Real Decreto del 8 de enero de 2010.

Y como lo prometido es deuda y en ese post me comprometía a contaros las novedades o cambios, sirva éste para saldar mi deuda. Sobra decir que todo el mundo debería leer por lo menos una vez la actualización del ENS (N.d.E. quizá estás exagerando, Eva), pero para quien le de mucha mucha pereza, aquí les dejo un breve resumen…

Tal y como se indica en la página del CCN-Cert, el objeto de la norma entre otras cosas “es reforzar la protección de las Administraciones Públicas frente a las ciberamenazas”. De acuerdo a esto, con la reforma del ENS se pretende adecuar la normativa al marco regulatorio europeo en lo que se refiere a las transacciones electrónicas, en la que se han tenido en cuenta las experiencias adquiridas en la implantación del ENS desde su publicación en 2010. El plazo establecido para cumplir con lo dispuesto en la actualización del ENS es de 24 meses.

[Read more…]

Este post es el tercero (ver el primero y el segundo) de una serie del colaborador David Marugán Rodríguez sobre cuestiones de seguridad que van más allá de lo que muchos conocemos. No podemos añadir más que lo que dice en la bio de su twitter @radiohacking: Security Consultant. Mundo Hacker Team. Spanish HAM radio operator EA4 / SWL since 80’s and RTL-SDR devices enthusiast y agradecer su colaboración con estos artículos tan fascinantes.

“Mientras se escribe este artículo, existen multitud de comunicaciones radio a nuestro alrededor que no cumplen con las más mínimas medidas de seguridad para garantizar la confidencialidad”.

Dicho así podría parecer un titular algo sensacionalista, pero nada más lejos de la intención. El objetivo principal de este artículo es sencillamente llamar la atención del desfase existente entre en nivel de concienciación actual en ciberseguridad y la menor atención que se suele prestar a la seguridad en las comunicaciones radio; sin alarmismos,  pero con la claridad en la exposición que este tema requiere. Si bien no es el objetivo de este trabajo el elaborar un manual completo de las vulnerabilidades habituales en estos sistemas y sus métodos de explotación, algo que requeriría un extenso trabajo, trataremos de mostrar algunos ejemplos relativos a la seguridad en comunicaciones radio más empleadas hoy día por todo tipo de organizaciones.

[Read more…]

Este artículo introducirá r2 para la resolución de una CTF simple de Defcon ’14 mediante Linux. Para aquellos que no conocen radare2, es una unix-like reverse engineering framework and commandline tool y lo más importante de todo es que es de código abierto así podemos jugar con ella.

Radare2 nos da la posibilidad de hacer ingeniería inversa y más por libre como vamos a ver en este blog, aunque no vamos a entrar en profundidad en los comandos. Lo dejo como ejercicio para el lector.

La mayoría de las personas se quejan de la falta de documentación que r2 tiene pero eso está lejos de la realidad. Radare tiene:

• Un libro open source en el que cualquiera puede contribuir.
• Charlas.
• Asciinema mostrando ejemplos de uso.
• Si añades ? a cada comando en la consola de r2 obtendrás una pequeña ayuda.
• Hay un blog.
• Canal IRC en freenode.net #radare.
• Por último, pero no menos importante, tenemos el código fuente.

[Read more…]

[N.d.E: Pablo Fernández Burgueño nos ha pedido por Twitter que hagamos algunas modificaciones al post, dado que el punto de partida de éste eran en gran parte sus declaraciones al medio digital, que habían sido mal recogidas por el periodista y en realidad éste no dijo. Las modificaciones realizadas aparecen en color rojo -inclusiones- o tachadas -eliminaciones-. En cualquier caso, hemos decidido mantener el resto del contenido del post como mero ejercicio de análisis, siempre dejando claro que tras la corrección, el punto de partida es una hipótesis y no las -mal recogidas- declaraciones de Pablo Fernández].

Hace unos días, un amigo se quejaba de las trabas que desde los tribunales y las entidades gubernamentales se ponen constantemente a actividades como compartir información en Twitter. Esto surgía a partir de una noticia en El Confidencial, en la que se mencionaba que la AEPD había amenazado con un ultimátum a las empresas españolas a propósito de la anulación del acuerdo de Puerto Seguro, de cuya sentencia ya hablamos aquí en su día.

[Read more…]

Este post es el segundo (ver el primero) de una serie del colaborador David Marugán Rodríguez sobre cuestiones de seguridad que van más allá de lo que muchos conocemos. No podemos añadir más que lo que dice en la bio de su twitter @radiohacking: Security Consultant. Mundo Hacker Team. Spanish HAM radio operator EA4 / SWL since 80’s and RTL-SDR devices enthusiast y agradecer su colaboración con estos artículos tan fascinantes.

No es difícil imaginar la cara que pondrían los espectadores de la WGN-TV en Chicago aquella noche de noviembre de 1987, cuando vieron como en sus pantallas se interrumpía la programación habitual (noticias deportivas) en horario de máxima audiencia, para dar paso a unas bizarras imágenes de un personaje caracterizado como el protagonista de la famosa serie de la época Max Headroom. Hablamos seguramente del más famoso incidente de intrusión en señales de TV en la historia: el conocido como “incidente Max Headroom”, del que mucho se ha escrito a lo largo de los años, y cuya investigación nunca logró atar todos los cabos, ni siquiera se pudo detener o identificar a los responsables últimos de este caso de secuestro de la señal de TV.

[Read more…]

En esta serie de entradas vamos a hacer una revisión de los tipos de ataque y mecanismos de defensa más habituales para tratar de mantener la seguridad de un servicio tan extendido e importante como es el de resolución de nombres o DNS.

El DNS como sabemos, es empleado principalmente para traducir nombres de domino en direcciones IP. Normalmente un DNS resolver (al que llamaremos cliente por comodidad) envía una pregunta del tipo ¿quién es www.securityartwork.com?, y su servidor DNS le envía una respuesta con la dirección IP correspondiente.

Imagen 1: PCAP de respuesta a una consulta tipo A

[Read more…]

Escribo esto totalmente sorprendida. No hace ni cinco minutos que me han llamado de una cadena de hoteles en la que supuestamente me he alojado para hacerme una gran promoción: me regalan dos noches de hotel para dos personas en cualquiera de sus hoteles por haber sido cliente.

¡Oh!,  ¡qué bien! ¡De cuando estuvimos en Nerja!, pienso yo acordándome del hotel rural “con encanto”. A continuación, la muchacha, muy educada ella, me dice que para ganar ¡dos noches de hotel para dos personas gratis! sólo tengo que darle una lista de mis contactos por teléfono (nombre y número de teléfono) y que por cada uno que les diga que sí a la misma promoción me regalan ¡otras dos noches de hotel! Ah, se le olvidaba decir que las noches son válidas por dos años en cualquier rinconcito agradable de España (que los hay y muchos).

[Read more…]