Security Art Work

El equipo de CyLab, perteneciente a la Universidad Carnegie Mellon, ha realizado recientemente un simpático proyecto llamado “Privacy Illustrated“, cuyo objetivo es reflejar de una manera sencilla qué entendemos por privacidad. Este estudio se ha realizado enmarcado en el Deep Lab, un congreso interdisciplinar de ciberseguridad que pretendía examinar la problemática y el impacto de los diferentes aspectos de la seguridad en la cultura y la sociedad.

El estudio ha consistido en pedir a personas de todas las edades que dibujaran lo que significa para ellos la privacidad. Hasta el momento tienen publicadas en torno a 170 imágenes que pueden verse en su web.

Mirando los dibujos, la primera conclusión no se hace esperar: todos valoramos y nos preocupamos por nuestra privacidad.

Este deseo de privacidad o intimidad aparece ya desde nuestra más tierna infancia, aunque va evolucionando conforme vamos creciendo para cubrir las diferentes facetas de nuestra vida. De esta manera he podido observar diferentes estadios:

• Niños entre 5 y 10 años: Los pequeños visualizan una barrera física alrededor de su espacio personal, como puede ser la puerta de la habitación o el baño, que les otorga un cierto grado de autonomía.
• (Pre)Adolescencia: Empiezan a relacionar el concepto con nuevos canales de comunicación (móviles, ordenadores y tabletas), si bien aún lo entienden como un proceso exclusivamente localizado y controlado a través del uso de contraseñas o de su uso sin supervisión.
• Jóvenes (desde los 16 a los 30): Ya a partir de los 16 años, los jóvenes empiezan a reconocer la “falta de privacidad” existente en las redes sociales. En contra de lo que podríamos pensar, los adolescentes son muy conscientes de los peligros a los que se exponen al compartir fotos o información personal y, por tanto, de la necesidad de controlar qué se comparte y con quién.

  Así mismo, muchos dibujos revelan preocupación por los actos de vigilancia en la red (network surveillance) llevados a cabo por gobiernos y grandes empresas, y la necesidad de cifrar las comunicaciones y su información.

• Adultos: Curiosamente, las personas mayores de 30 vuelven a recuperar la noción de intimidad, del derecho al espacio personal y la introversión.

Desde mi punto de vista, esta colección de dibujos muestra en cierta manera cómo empezamos imponiendo nuestra intimidad a través de barreras sólidas que se van permeabilizando para poder filtrar aquello que queremos compartir con el mundo.

Así mismo, es fácil entender que hay diferencias entre distintas generaciones. Los jóvenes ven con mayor naturalidad el compartir “intimidades” y relacionarse a través de redes sociales. Ahora bien, como ya he comentado, sí que me sorprendió gratamente vislumbrar un mayor interés del que esperaba con respecto a su “reputación digital”. De hecho hay otro estudio de Oxford [PDF] que sostiene que existe una relación inversa entre edad y preocupación por la privacidad.

Donde aprecio una mayor vulnerabilidad es en los adolescentes en torno a 12-15 años, cuando, con un acceso importante a redes o aplicaciones de compartición de archivos e información, aún no han alcanzado la madurez suficiente para entender completamente los peligros o las implicaciones morales que conllevan. Es por esto que, en mi opinión, es en estas edades donde debemos centrar nuestros esfuerzos de comunicación y formación.

Para finalizar os invito a que ojeéis las imágenes. Os adelanto que os identificaréis con muchas de ellas, y es que todos sentimos la necesidad de guardarnos algo para nosotros y reclamamos nuestro derecho a la privacidad, con 5 años o con 60.

En el capitulo anterior analizamos la función IsDebuggerPresent() de la API de Windows, jugamos con el crackme en OllyDbg y vimos como hacer un bypass de esta función para lograr nuestro objetivo.

En esta entrega vamos a ver otra técnica que se basa en el chequeo del campo NtGlobalFlag del PEB (Process Environment Block).

El valor de NtGlobalFlag viene determinado por el valor de los siguientes flags:

• FLG_HEAP_ENABLE_TAIL_CHECK
• FLG_HEAP_ENABLE_FREE_CHECK
• FLG_HEAP_VALIDATE_PARAMETERS

[Read more…]

Dice el dicho que ‘la confianza da asco‘. Esta frase, que se aplica normalmente en tono distendido para describir una característica propia de las relaciones humanas, cobra hoy especial significación en el mundo digital. Y es que la confianza ya no se limita a las relaciones interpersonales, sino que amplía su ámbito de aplicación a las relaciones persona-máquina e incluso máquina-máquina.

Con la llegada de la era digital, Internet y las nuevas formas de comunicación, se nos presentan cada día situaciones, de las cuales la confianza forma parte consustancial. Así pues, acciones cotidianas tales como abrir un email o acceder a una web determinada, implican un ejercicio de confianza que, en ocasiones, realizamos sin ni siquiera ser conscientes y que, lamentablemente pueden llegar a ocasionarnos perjuicios tales como el robo o pérdida de información, chantajes, daño a la imagen personal o corporativa… Aunque dado el perfil de nuestros lectores todo esto puede parecer trivial, casi todos conocemos algún caso, bien sea a través de terceros o de los medios de comunicación, en el cual la confianza mal entendida ha derivado en alguno de los quebrantos mencionados anteriormente.

[Read more…]

Gran parte de las ciudades del mundo son cada vez más “inteligentes”, lo cual se convierte en nuevos blancos para ciberatacantes. Las ciudades han ido incorporando nuevas tecnologías durante varios años, pero últimamente la tasa de tecnologización ha aumentado significativamente y muchas ciudades de todo el mundo son cada vez más inteligentes. Las nuevas tecnologías, junto con una conectividad más rápida y fácil, permiten a las ciudades optimizar recursos, ahorrar dinero y al mismo tiempo ofrecer mejores servicios a sus ciudadanos.

Una “ciudad inteligente” (Smart city en inglés) se puede definir como una ciudad que usa tecnología para automatizar y mejorar servicios de la comunidad, incrementando el nivel de vida de sus ciudadanos. En la ciudad inteligente del futuro todo estará conectado y automatizado. Esto todavía no es una realidad, pero mientras tanto, muchas ciudades ya están elaborando grandes presupuestos para poder ser más inteligentes en un futuro cercano.

Pero, ¿qué pasaría si uno o más servicios altamente dependientes de tecnología no funcionar? ¿Cómo se verían afectados los desplazamientos dentro de la ciudad sin el funcionamiento de los sistemas de control de tráfico, sin semáforos o sin transporte público? ¿Cómo responderían los ciudadanos a un suministro inadecuado de agua o electricidad, a calles oscuras, o simplemente a una interrupción del servicio de recogida de basuras en verano con la consecuente proliferación de olores, insectos, ratas, patógenos, etc.?

¡La ciudad “inteligente” sería un CAOS!

Desafortunadamente esto podría ocurrir muy fácilmente debido a que muchas ciudades están implementando nuevas tecnologías sin tener en cuenta que estos estos sistemas son vulnerables desde el punto de vista de la ciberseguridad y por tanto están expuestos a ciberataques. Normalmente todos los aparatos y sistemas se someten a rigurosas pruebas de funcionalidad, resistencia a condiciones atmosféricas etc., pero prácticamente no se les somete a ningún test de intrusión en el que algún hacker pueda modificar y alterar sus condiciones de funcionamiento.

¿Qué hace que una ciudad sea más inteligente? ¿Qué tecnologías se usan? ¿Qué vulnerabilidades podrían presentar estas nuevas tecnologías desde el punto de vista de la ciberseguridad? Algunas de las tecnologías que podrían contribuir a incrementar la inteligencia de la ciudad y sus posibles vulnerabilidades serían:

• Control de tráfico inteligente: Semáforos y señales que se adaptan basándose en el volumen y las condiciones de tráfico actuales. Se detecta el tráfico actual y la información en tiempo real se utiliza para coordinar y mejorar el flujo en calles, carreteras, cuestas, etc.

  Posible vulnerabilidad: Es posible introducir datos falsos en los sistemas de control de tráfico y configurarlos con opciones y tiempos incorrectos en los semáforos, señales de tráfico…, y así sucesivamente.

• Estacionamiento Inteligente: Los ciudadanos pueden utilizar una aplicación de estacionamiento para encontrar plazas de aparcamiento disponibles, revisión de precios y sus cambios según la hora del día, la disponibilidad, la ubicación, etc.

  Posible vulnerabilidad: Vulnerar esta aplicación podría generar un colapso en un parking concreto, desviando todos los conductores a dicho parking, o incluso haciendo que siempre acudieran a cierto parking con mayor frecuencia de forma que sus propietarios percibieran mayores beneficios.

• Alumbrado público inteligente y Gestión de energía inteligente (Smart Grid): El alumbrado público inteligente se gestiona de forma centralizada. Las luces de la calle se pueden adaptar a las condiciones climáticas, pueden reportar problemas, o se pueden automatizar por hora del día. Las luces de la calle se pueden incluso apagar y encender dependiendo de la detección de vehículos y personas en movimiento. Por otro lado, una red inteligente (Smart Grid) puede entregar energía dependiendo de las necesidades. Los contadores inteligentes pueden comunicarse con la red inteligente para programar un suministro de energía a una hora específica con un menor coste económico. La red inteligente puede incluso apagar el calentador de agua de nuestra casa durante las horas pico, en las que la electricidad es más cara. Los edificios inteligentes utilizan el mismo principio para conservar energía y comprar electricidad cuando las tasas son “low cost”.

  Posible vulnerabilidad: Muchos proveedores permiten que se dé acceso privilegiado para cualquier persona a un dispositivo o sistema conectado a una red local, ya que asumen que la red interna es segura. Normalmente muchos implementan sistemas inalámbricos y protocolos de comunicación por cable con poca o sin seguridad. La mayoría de los nuevos dispositivos son inalámbricos (como los contadores inteligentes, las farolas, sensores, semáforos, tuberías inteligentes, cámaras de tráfico y vigilancia etc.), lo que hace que sean fáciles de implementar, pero también fáciles de hackear si la comunicación no está debidamente encriptada. Por otra parte, las conexiones vía cable requieren acceso físico y eso hace que sean más difíciles de hackear, pero algunos de estos sistemas cableados como PLC (Power Line Communication) están más expuestos y es más fácil acceder a ellos. Un atacante tan solo tiene que conectarse a la red eléctrica para obtener acceso y tener todos estos dispositivos a su merced.

• Transporte público inteligente: Se proporciona a los ciudadanos la información en tiempo real acerca de los horarios (bus, tren y metro) y posibles retrasos. Los pagos sin contacto físico permiten a los ciudadanos pagar con facilidad, incluso utilizando un teléfono inteligente.

  Posible vulnerabilidad: Con solo mostrar información incorrecta mediante la manipulación de los sistemas de información de transporte público, es posible influir en el comportamiento de las personas para causar retrasos, hacinamiento, y así sucesivamente. Por ejemplo, falsificando un retraso en una línea de metro, los atacantes pueden provocar que la gente se concentre en otra línea provocando una avalancha de personal. También un atacante podría alterar los sistemas de pago. Si los sistemas de pago no funcionan, la gente podría viajar gratis o incluso miles de personas podrían saturar con quejas los mostradores de atención al cliente o las líneas telefónicas.

• Gestión inteligente del agua: Las tuberías inteligentes miden la calidad del agua, detectan fugas, distribuyen el agua y detectan problemas. Técnicas similares se utilizan para gasoductos y oleoductos.

  Posible vulnerabilidad: Los ataques sobre los sensores inalámbricos de las tuberías y el envío de datos falsos a la central tendría graves consecuencias en cuanto a medidas tan importantes como la calidad del agua. Cualquier filtración o contaminación no sería detectada e implicaría suministrar agua en mal estado a los ciudadanos, con las consecuencias en la salud de estos.

• Gestión de residuos inteligente: Los sensores en los contenedores de residuos detectan el volumen de basura, el olor y así sucesivamente. La recogida de basura puede ser más eficiente si se descartan previamente los contenedores vacíos y se detiene con anterioridad solo delante de los contenedores que huelen.

  Posible vulnerabilidad: Los ataques sobre los sensores inalámbricos de los contenedores y el envío de datos falsos a la central tendría graves consecuencias en cuanto a la recogida de basuras. La basura podría llegar a acumularse en ciertas zonas de la ciudad, con su consecuente impacto sobre la salud de los ciudadanos y sobre el medio ambiente.

• Seguridad ciudadana: Cámaras de vigilancia, sensores de detección de bala y otros dispositivos de seguridad proporcionan información en tiempo real sobre lo que está pasando y dónde. Tecnología de “conteo” de personas, tales como el seguimiento de los teléfonos móviles o comunicación (como WiFi o Bluetooth) se utiliza para determinar el número de personas en un área determinada como una calle, un parque o un edificio.

  Posible vulnerabilidad: Las cámaras de tráfico y vigilancia son los ojos de la ciudad y al atacarlos, los atacantes pueden provocarle ceguera a las ciudades inteligentes. No siempre es posible reiniciar remotamente las cámaras. Además, los ataques de denegación de servicio se pueden hacer persistentes mediante la modificación de firmware. La ciudad se quedaría sin vigilancia.

Estas tecnologías están respaldadas por:

• Sistemas de gestión de la ciudad: Estos sistemas ayudan a automatizar diferentes tareas de administración de la ciudad.

  Posible vulnerabilidad: Un atacante podría manipular la información del mapa de localización y las órdenes de trabajo para enviar trabajadores públicos o de alguna contrata para hacer una intervención sobre canalizaciones de gas, agua o cables de comunicación, con la intención de dañar esas instalaciones.

• M2M (Machine to Machine): Con el fin de hacer una ciudad más inteligente, se necesitan dispositivos (máquinas) que hablen entre sí, de forma que se tomen decisiones de forma automática.

  Posible vulnerabilidad: Las nuevas tecnologías están siendo integradas dentro de las viejas tecnologías, las cuales son más vulnerables. Algunos sistemas antiguos requieren de tecnología en medio que haga de traductora de protocolos de comunicación con los nuevos sistemas. Como algunos sistemas no funcionan en los nuevos (los cuales poseen sistemas operativos más seguros), se utilizan sistemas operativos más viejos y vulnerables. Esto añade complejidad, aumenta la superficie de ataque, y ralentiza la incorporación de nuevas tecnologías. Un claro ejemplo sería el edificio inteligente Burj Khalifa, el edificio más alto y más inteligente del mundo. Los sistemas principales del edifico se ejecutan con el sistema operativo Windows XP, que es viejo, anticuado y menos seguro que los nuevos sistemas operativos. Esto convierte Burj Khalifa en un blanco fácil para posibles ataques cibernéticos.

• Sensores: Usados para todo, los sensores (a menudo sin cable) suministran datos de forma continua a las ciudades inteligentes. Ejemplos: Sensores de tiempo (detectan las condiciones climáticas y envían alertas), sensores sísmicos (situados en puentes y bajo tierra, detectan daños en túneles y en infraestructuras causados por terremotos, envejecimiento u otros problemas), sensores de niveles de polución (detectan e informan sobre niveles de polución en diferentes partes de la ciudad), sensores de olor (para la basura, gas natural…detectan posibles problemas), sensores de inundaciones, sensores de sonido (pueden detectar disparos, alarmas, actividad….etc.).

  Posible vulnerabilidad: La mayoría de los sensores utilizan tecnologías inalámbricas fácilmente accesibles. Los ataques que impliquen comprometer sensores y enviar datos falsos pueden afectar directamente a los sistemas, ya que las decisiones y acciones que estos tomen dependerán de datos falsos. Esto podría tener un gran impacto en función de cómo los sistemas afectados utilizan los datos e interactúan con otros sistemas.

• Datos de dominio público: Los gobiernos comparten datos (a veces en tiempo real) para que las personas puedan desarrollar aplicaciones.

  Posible vulnerabilidad: Los datos públicos (open data) están disponibles para los atacantes, a veces en tiempo real. Estos datos pueden ayudar a determinar el mejor momento para los ataques, ataques de horario, crear disparadores de ataque, coordinar ataques, y así sucesivamente. Con esto los atacantes no necesitan actuar a ciegas. Pueden actuar de forma precisa basándose en datos reales.

• Aplicaciones móviles: En un ecosistema de ciudad inteligente, las aplicaciones móviles fomentan la interacción entre los ciudadanos y la ciudad. Los ciudadanos pueden obtener información de los sistemas de la ciudad, sensores, y así sucesivamente a través de aplicaciones móviles, y con ello tomar decisiones en función de la información que reciben.

  Posible vulnerabilidad: Los atacantes podrían dirigirse a empresas de desarrollo de aplicaciones móviles o simplemente modificar los datos con los que se nutren las aplicaciones. Las aplicaciones móviles son un objetivo importante, ya que los ciudadanos van a tomar decisiones y actuar en base a la información suministrada por esas aplicaciones. Hackear aplicaciones móviles tiene un impacto directo en el comportamiento de los ciudadanos. Por ejemplo, si la aplicación de transporte público está mostrando un retraso en un autobús, un ciudadano puede optar por viajar a trabajar en coche; si la misma decisión es tomada por cientos de personas en una zona de alta densidad poblacional, el resultado es un atasco de tráfico. También muchos servicios están basados en la localización, lo que significa que la suplantación de GPS y otros ataques son posibles. Las personas perciben la información de localización en tiempo real, y si la ubicación es incorrecta, entonces la gente va a tomar decisiones basadas en información incorrecta. La naturaleza del impacto es función de la medida en que una ciudad depende de los servicios afectados.

Conclusión

Cuanta más tecnología utiliza una ciudad, más vulnerable a los ataques cibernéticos es, por lo que las ciudades más inteligentes tienen los mayores riesgos. Las tecnologías utilizadas por las ciudades deben ser correctamente auditadas antes de su implementación desde el punto de vista de la ciberseguridad. Cuando a una ciudad inteligente se le suministran datos fácilmente manipulables en los que confía ciegamente, y además esta tiene sistemas fácilmente hackeables y problemas de seguridad por doquier, entonces pasa rápidamente de ser una “ciudad inteligente” a ser una “ciudad estúpida”. Esperemos que los responsables tengan todos estos problemas de seguridad en mente.

Continuando con las medidas de seguridad en capa 2 que hemos visto en entradas anteriores, en este post nos centraremos en STP (Spanning Tree Protocol), protocolo usado en la red para evitar bucles a nivel 2 en nuestra topología.

Es habitual ver tráfico similar a este cuando capturas tu propia interfaz (no entro a valorar si dispones de permisos de administrador o si el equipo es un servidor o un equipo de usuario):

13:44:16.651348 STP 802.1d, Config, Flags [none], bridge-id 8001.00:24:f7:31:65:00.8016, length 43
	message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 15.00s
	root-id 8001.00:24:f7:31:65:00, root-pathcost 0
13:44:18.660589 STP 802.1d, Config, Flags [none], bridge-id 8001.00:24:f7:31:65:00.8016, length 43
	message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 15.00s
	root-id 8001.00:24:f7:31:65:00, root-pathcost 0
13:44:20.661034 STP 802.1d, Config, Flags [none], bridge-id 8001.00:24:f7:31:65:00.8016, length 43
	message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 15.00s
	root-id 8001.00:24:f7:31:65:00, root-pathcost 0
13:44:22.666010 STP 802.1d, Config, Flags [none], bridge-id 8001.00:24:f7:31:65:00.8016, length 43
	message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 15.00s
	root-id 8001.00:24:f7:31:65:00, root-pathcost 0
13:44:24.670848 STP 802.1d, Config, Flags [none], bridge-id 8001.00:24:f7:31:65:00.8016, length 43
	message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 15.00s
	root-id 8001.00:24:f7:31:65:00, root-pathcost 0

[Read more…]

El problema

El pasado 13 de Abril de 2015 el US-CERT publicaba una alerta informando de que “Las peticiones AXFR podrían filtrar información referente a los servidores de dominio“. La comunidad cuando menos se rascó la cabeza pensando en qué estaba pensando el US-CERT. De hecho, este comportamiento fue reportado ya en 1997 por el NIST.

Las peticiones AXFR a servidores de nombres permiten replicar bases de datos DNS entre distintos servidores DNS. Las entidades por lo general tienen al menos dos servidores DNS (un primario y un secundario) que les permiten seguir disponiendo de servicio de nombres en caso de que el primario caiga. Por esta razón es importante que todos los servidores de nombres de una organización estén sincronizados. Esta sincronización se consigue mediante las peticiones XFR. Existen dos tipos de peticiones XFR, la incremental (IXFR) y la completa (AXFR), que envía al secundario toda la información de DNS local (lo que se conoce como la zona) que tiene el servidor primario. A este proceso se le conoce como “Transferencia de Zona“.

[Read more…]

Cuando se habla de un delito informático, se tiende a pensar en una persona al otro extremo de la red con altos conocimientos técnicos que está intentando lucrarse ilícitamente. Pero lo cierto es que detrás de estos delitos no suele haber una única persona, sino organizaciones complejas con diferentes roles y actores que gestionan, administran y ejecutan sus acciones.

El fraude a través de la red ha tenido una gran evolución, lo que ha ocasionado una sofisticación mayor en la manera de cometer los ciberdelitos utilizando infraestructuras cada vez más complejas. Este aumento en el grado de complejidad implica que los propios delincuentes no pueden abarcar todo el funcionamiento y métodos de ataque sobre una infraestructura u organización.

Al igual que hay en el mundo mercantil desarrollo de software, operaciones de compra/venta, colaboraciones, rivalidades, etc., lo mismo ocurre en el mundo mercantil “negro” de forma paralela. Sin embargo, en esta ocasión hablamos de desarrollo de exploits, compra/venta de exploits y vulnerabilidades, colaboraciones entre organizaciones criminales, etc. De la misma forma, existe una segregación de tareas definida en la que podemos identificar varios roles claramente, en función de la tarea que realizan en la cadena criminal.

[Read more…]

Hace unas semanas un amigo me comentaba que, tras un incidente en el servidor en la nube que tenía contratado (servidor que utilizaba entre otras cosas como almacén para toda la documentación relacionada con su tesis doctoral), había perdido la totalidad de la información y se veía obligado a realizar el trabajo de nuevo. Mi primera frase fue “¿No tenías copia de seguridad…?”, creo que tratando de dejar a un lado la sensación de incredulidad que me había producido la noticia. No me había sorprendido que un servidor en la nube fallase, era que una vez más se cumplía el dicho, “En casa de herrero cuchillo de palo”.

Dicen que hay dos tipos de motoristas, los que se han caído y los que se van a caer. Esta frase, que he oído múltiples ocasiones, normalmente tras enterarme de algún accidente de algún conocido aficionado del motor sobre dos ruedas, es una frase que puede ser trasladada sin más a los sistemas de almacenamiento. Están aquellos sistemas que han fallado y los que van a fallar.

Haciendo memoria recordé otras ocasiones en las que amigos, o conocidos, se lamentaban de pérdidas de datos debidas, según ellos, a incidentes con los equipos o, incluso, por la falta de previsión del fabricante de los mismos.

Un caso, en el que precisamente el incidente se achacaba a la falta de previsión del fabricante del equipo, fue el de un amigo que decidió que había llegado el momento de hacer una instalación a estado de fábrica del ordenador familiar. Lamentablemente, no debió entender (ni leyó las advertencias) que ello implicaba que, tras la operación, el equipo quedaría tal como lo había adquirido y que, pese a su previsión de haber reorganizado el espacio en el disco duro para no tener los datos en la misma partición que el sistema operativo e incluso contar con una copia de seguridad de los datos realizada seis meses antes, las fotos familiares que guardaba en el mismo de la reciente celebración del primer cumpleaños de su retoño no era algo que el fabricante incluyese de serie. Todavía recuerdo su cara mientras se hacía a la idea de cómo contarle a su pareja que no había fotos. ¡Ah! En esta ocasión volvía a cumplirse el dicho de “En casa de herrero…”.

Los anteriores son dos casos en los que personas con conocimientos sobrados en cuanto a sistemas de información, han perdido datos que en teoría, les eran importantes. Y no siempre ha sido por fallos de sistema. No saquemos conclusiones demasiado temprano, no siempre se trata de herreros.

Cuando uno lleva suficiente tiempo en el negocio, tiene oportunidad de encontrar situaciones de casi cualquier índole. En cierta ocasión, un conocido de uno de los socios de la firma en la que yo desempeñaba mi labor profesional, solicitó que acudiésemos a salvar el mundo. ¿Recordamos el dicho de los motoristas? En esta ocasión, una vez más un sistema había sufrido un percance, el disco duro tenía un fallo mecánico y el directivo nos indicaba la importancia de recuperar la información almacenada en el mismo. Dejaré a un lado todo lo que supuso conseguir que el sistema quedase funcionando de nuevo. Llegado el momento de recuperar los datos, tras haber observado que disponían de un dispositivo para la realización de copias de respaldo, e incluso cintas seriadas y un documento con la planificación de rotación que le había proporcionado su anterior proveedor de servicios, resultó que no se realizaba el proceso de copias de seguridad. ¿Por qué? Pues es algo que aún no he logrado entender.

Una de las frases que uno puede escuchar cuando se encuentra en reuniones de padres es la necesidad de dejar que los hijos tropiecen, para que de esa manera aprendan por la experiencia sufrida. También está quién es de la opinión de que si se puede aprender por las vivencias de otros, no es necesario caer para aprender.

Por mi parte yo sigo intentando, en las distintas esferas de relaciones que me rodean, que las vivencias ajenas sirvan de algo más que de anécdotas. No creo que sea preciso llegar a la histeria, ni tomar las cosas por la tremenda. No es preciso que habiendo acabado de leer este artículo tengamos que hacer un pedido de dispositivos de almacenamiento que colme de alegría y beneficios a los fabricantes y distribuidores de los mismos, tan sólo dediquemos un par de minutos a considerar si hay algún dato o información que realmente consideremos importante y qué sensación nos produce saber en qué condiciones lo tenemos archivado.

Estoy seguro de que los tropiezos de los tres casos anteriores motivaron a sus protagonistas un aprendizaje, pero también está el dicho “El hombre es el único animal que tropieza dos veces con la misma piedra”. Espero que éste no se cumpla y que en mi interior no tenga que volver a pensar “No era tan importante…”.

Últimamente se están identificando numerosas campañas de correos maliciosos con ficheros adjuntos; en especial, con variantes de Cryptolocker o CTB-Locker y demás tipo de ransomware.

En la mayoría de casos se trataba de un archivo ejecutable, con extensión .EXE, directamente incluido en un archivo comprimido ZIP sin contraseña. Entre tanto ejecutable, hace unos días llegó un correo diferente que no contenía un ejecutable sino un archivo VBS. En realidad, se trataba de un archivo con doble extensión (algo muy habitual para engañar al usuario y hacerse pasar por un archivo XLS, en este caso).

El correo venía con el asunto “This is your Remittance Advice [ID:92251]” y un archivo adjunto con el nombre VW3840QVDZ.zip, que contenía un supuesto archivo de hoja de cálculo:

5104afe7f36cd6ba8d0ad13848d1b38c963fbb42ea51532c3b01e21805971c72 VW3840QVDZ.zip
f19315d0757362859022e40d7d64a46d5a50227e35d1e10f3c1c7731821ec8ac 8323241AZ#632463.xls.vbs

Evidentemente, este último archivo no se trata de un archivo de Excel, sino un script en Visual Basic con el siguiente contenido:

Se trata de código ofuscado utilizando la función chrw, que convierte números enteros en caracteres, para no mostrar el código original. Además, el entero lo representa como suma de dos números. Al final del código vemos una función que ejecuta el anterior código almacenado en la variable nt:

Desde el punto de vista de un Blue Team, debemos identificar qué realiza este código para tratar de contener el posible incidente de seguridad sin ejecutar el código. Al tratarse de código VisualBasic script, podemos modificar el código para llamar a una función que muestre el contenido de la variable nt, como imprimirla por pantalla o en un archivo, en lugar de ejecutarla. Para esto, vamos a sustituir la última línea por otro código que escriba el valor de nt en un archivo de texto de la siguiente manera:

De esa forma mostramos el código ejecutado por el código en el archivo script.txt, donde vemos que se trata de un dropper de otro archivo sospechoso descargado desde un servidor ubicado en Rusia:

Vemos que el código se trata de una llamada a powershell.exe, para descargarse el recurso casma.gif, descomprimirlo y ejecutarlo. Aquí tenemos el primer elemento de contención: bloquear la dirección IP del servidor desde el que nos descargamos este archivo sospechoso.

Tras conseguir el archivo desde un origen diferente al atacado, podemos analizar el ejecutable.

El archivo parece comunicarse con el servidor 188.120.225.17, también ubicado en Rusia, al que posiblemente le envíe información a través de peticiones POST y otros servidores repartidos por varios países, por lo que tenemos un gran número de direcciones IP a bloquear y contener el posible incidente antes de que se materialice.

Conclusiones

Entre las medidas que tomamos para la contención, hay que bloquear la dirección IP desde la que el dropper descarga el malware para evitar que los usuarios puedan verse comprometidos.
También hay que bloquear la dirección IP <188.120.225.17> para evitar que el malware se comunique con el que es supuestamente el servidor de control o donde se envía la información capturada.

Por último, entre las lecciones aprendidas para evitar que ocurra un incidente similar se encuentra la formación y concienciación al usuario final para no abrir correos sospechosos ni sus adjuntos. No obstante, a nivel técnico tiene una solución bastante sencilla, como bloquear los correos que contengan adjuntos en formato ejecutable (EXE, BAT, VBS, SCR y demás archivos ejecutables).

En octubre de 2013, hace poco más de un año y medio, se publicaba la nueva versión de la ISO/IEC 27001:2013.

Mucha era la expectación que se había creado en torno a esta nueva versión y los análisis empezaban a inundar las páginas web del sector y los grupos de LinkedIn. A los pocos días de la publicación en inglés de la norma, publicamos un exhaustivo análisis sobre los cambios que a priori se esbozaban del estándar.

La traducción al castellano, UNE-ISO/IEC 27001:2014, llegó más de un año más tarde, dejando poco margen a las organizaciones que habían estado esperando a la norma en castellano para su adaptación. Recordemos que el plazo que daban desde ISO (International Organization for Standardization) era de dos años desde su publicación en octubre de 2013. Esta situación habrá supuesto un reto para muchas organizaciones.

[Read more…]