Security Art Work

Mi primera contribución a este blog hablaba de la “falta de cultura en seguridad”, que es a todas luces es uno de los motivos por los que los usuarios no cambiamos las contraseñas, usamos contraseñas fáciles de “cazar”, etc.

He de decir en descargo de los usuarios que en este tipo de actitudes no es justo cargar toda la culpa en el “pobre” usuario final, sino que algo tendrá que ver que nuestra “sociedad de la información / sociedad TI” parece demasiado a menudo la “sociedad del cachondeo informático”, lo que yo llamo “Sociedad CHI”. Pero si hay cachondeo no hay seriedad ni mucho menos SEGURIDAD, y vamos a ver porqué.

Empecemos por algo básico y casi trivial: obtener una entrada de cine, descargar la factura de la luz de casa, una cita con el médico, buscar un hotel, etc. Para todo esto (y mucho más), hace falta que nos demos de alta en una web, generemos una contraseña y no se cuántas cosas más, sin dejar de lado que la contraseña ha de ser alfanumérica y chiripitiflaútica. Si además de eso eres una empresa que pretendes vender a alguien, has de darte de alta en SU web (todo el mundo tiene una), te asignan SU numerito, te generan SU clave, has de confirmar que no eres una máquina con un texto ilegible que cuesta, ya no leer, sino interpretar, y además hazlo rápido o simplemente te “tira” de la web y vuelta a empezar.

A la vista de esto ¿suena o no a cachondeo? Muy serio (o profesional o “ingenieril”) no parece.

Los que nos movemos en el mundo de la seguridad queremos que la gente “se culturice”, que cambie sus contraseñas y utilice claves “seguras”. Pero, con lo que cuestan los procesos de alta y autenticación, y toda la parafernalia existente alrededor de la informática y la seguridad, lo que más se hace en ocasiones es “desincentivar” la SEGURIDAD. Veamos algunos ejemplos de la “Sociedad CHI”:

• Cada web es distinta. En unas para identificarte te denominan “usuario”, en otras “empresa”, en otras te denominan “identificación”, en unas el campo está a la derecha, en otras a la izquierda y en otras donde les da la gana.
• Cada web funciona con el navegador que su padre o su madre les dio a entender y no te informan de cuál utilizar (adivina adivinanza: prueba con este y si no va con este, y si con esos dos no va, prueba con este). Puedes perder una hora intentando que el maldito formulario funcione y para resolver dudas se ofrece un 902 que te cuesta dinero y no ofrecen (como exige la ley) un teléfono “normal”, en el que se pasan cinco minutos diciéndote que te van a grabar, que puedes reclamar por lo de la LOPD y por no se cuántas chorradas más… ¿es o no es cachondeo?
• Hay bancos que te piden usuario y contraseña para entrar. Si haces una transferencia has de añadir una clave de firma, generan una clave de una tarjeta (que te dieron en su día) y (además) te envían un SMS con otra clave a introducir… ¡por Tutatis! Solo faltaría que nos hiciesen rezar el “Yo Pecador”.
• ¿Y qué me dicen de las firmas digitales? En unos casos se admiten solo las de la FNMT, en otros solo las de Camerfirma, en otros solo las de entidades de firma locales como Generalitat Valenciana. ¿Existe alguna razón que no sea la de reírse del usuario? Y si a esto le añadimos la exigencia de enviar facturación electrónica a un cliente, apaga y vámonos. Por ejemplo, grandes compañías españolas, algunas administraciones incluidas, han hecho “su propia factura electrónica” que no es compatible con el formato de la Facturae del Ministerio de Hacienda (¿existe mayor disparate?). Incluso te exigen que para poder introducir la factura en “su portal” delegues la firma digital DE TU FACTURA en otra empresa (totalmente verídico). Lo mejor viene cuando estas grandes compañías te exigen que “introduzcas” tu factura en su plataforma y ésta comienza a dar errores de Java, momento en el que sabes que puedes dar la mañana por perdida.

Sigamos. ¿Y cuando los Ministerios, Dios los guarde, piden (más bien exigen bajo pena de excomunión y sanción económica) que cumplimentes una encuesta (cada una de las cuales funciona o no en un navegador distinto y en una versión distinta)? Has de introducir numerosos datos que son públicos (que la Administración podría perfectamente “recolectar sin molestar”) y te piden opiniones sobre algo tan heterogéneo como si tu producto es o no de series de televisión o de morcillas de arroz… ¿Para qué les sirve tener tu CNAE?

Luego están las webs oficiales donde depositas tus datos para que sean de dominio público y que luego tienes que documentar “físicamente” en un despacho para que se valide. ¿Pero, no habíamos entrado con certificado digital? ¿Pero, no habíamos introducido la clave que ellos nos habían dado? ¿Pero, pero, pero?

Si esto estuviese pasando (p.ej.) en la industria del automóvil tendríamos coches con todas las ruedas a la izquierda, otros con volante en el portamaletas, algunos con retrovisores mirando al cielo (por si los drones), pero sin embargo todas las marcas tienden a “normalizar”: ruedas redondas, volantes donde toca, estándares de seguridad que hay que cumplir, estándares de producción de gases a respetar, estándares de residuos a eliminar en su reciclaje, etc. Sin embargo, ya sea porque no se quiere, no se sabe, el mercado no está suficientemente maduro, no hay un organismo regulador que “obligue” (como sucede en la industria del automóvil) o sencillamente, alguien se está riendo de nosotros, el caso es que hoy por hoy nuestra “Sociedad TI” es más “Sociedad CHI” y demasiado a menudo un completo despropósito.

El problema de esto es que cuando tenemos esa sensación de que “todo vale” no es posible tomar nada en serio y eso incluye la seguridad. Los responsables somos todos: usuarios, diseñadores, administración, informáticos, etc. ¿Cómo vamos a querer que un cachondeo sea seguro? Primero hagamos de esto un tema serio, ya que no puedo exigir a un niño que me tome en serio si le estoy haciendo cosquillas o llevo nariz de payaso.

Ahí van unas cuantas modestas propuestas de mi cosecha, basadas en mi experiencia personal:

• todas las identificaciones estarán en el centro (para no herir susceptibilidades) y tendrán dos identificadores o siete me da igual, pero TODAS igual. Normalicemos, por favor.
• Como parece imposible conseguir que todos los navegadores funcionen igual o al menos que interpreten igual el código HTML, las webs indicarán en su publicidad con que navegador funcionan.
• Java. Sin comentarios.
• Las contraseñas no pueden caducar sin avisar. Deben caducar, pero no está mal que nos informen de ello previamente.
• Incorporemos un comando universal para la web, tan sencillo como “adelante-atrás”. Os garantizo que en muchas no existe.
• Esto es una cruzada personal. Las encuestas pedirán solo datos que no puedan obtener de fuentes públicas (Registro Mercantil o similar).
• La firma digital ha de ser universal. Si tenemos algo llamado Fábrica Nacional de Moneda y Timbre, será para algo.
• De la factura electrónica mejor no hablar porque está escrito en el BOE. Así que sólo hace que se ponga en marcha.

Los pasos siguientes os los dejo a vuestra imaginación. Seguro que se os ocurren unos cuantos.

Yara es una iniciativa que cada vez va consiguiendo un mayor uso en el ámbito de la gestión de incidentes, en especial este último año. Este proyecto ha sido ampliamente comentado en artículos de este y otros blogs.

En esta ocasión voy a mostrar un ejemplo práctico del uso de yara para la gestión de incidentes provocados por ransomware. Estos últimos meses ha habido un aumento de actividad de este tipo de malware que, a pesar de las numerosas advertencias realizadas por aquellos que nos dedicamos a la seguridad y la gestión de incidentes, sigue teniendo un impacto bastante grande. Afortunadamente, los últimos incidentes de ransomware en los que he participado, el compromiso únicamente ha afectado a un usuario en cada caso, lo que ha permitido centrarnos más en el alcance de los archivos cifrados que en la identificación de posibles equipos comprometidos.

Identificación de extensión

Uno de los primeros casos en los que tuvimos que participar fue un incidente con CTB-Locker. En esta ocasión, un usuario reporta un mensaje que le aparece en su escritorio informando que sus archivos han sido cifrados y se solicita un rescate para su recuperación. Una vez contenido parte del incidente desconectándolo de la red e identificando que es el único equipo afectado (no vamos a extendernos en este punto) pasamos a determinar qué archivos han sido cifrados y cuáles pueden recuperarse (nunca recomendamos pagar por su rescate).

[Read more…]

Este domingo pasado se dieron dos factores interesantes: el primero, una tarde-noche tirando a bastante aburrida y el segundo, que tenía materiales que me habían llegado el sábado. Así que decidí probar algo que había leído. Una técnica de la que había oído hablar mucho pero que no había tenido la oportunidad de probar personalmente: un “cold boot attack”.

Para aquellos que no sepan de que va, se trata de una técnica en la cual se aprovecha que la información de la memoria RAM no se borra instantáneamente, sino que se degrada poco a poco durante un breve tiempo. Ese tiempo parece ser de unos segundos, pero si se reduce la temperatura de la memoria RAM, se puede conseguir que este tiempo se incremente sustancialmente.

Una vez introducida brevemente la teoría es hora de pasar a la práctica, que es lo interesante. En este caso vamos a hacer un montaje casero, en un escenario en el que no se cuenta con demasiados recursos: un ordenador con Windows 7 y 2 GB RAM DDR3 y otro con Windows 7 y 4 GB de RAM DDR3. El primero será el sistema atacado y en el segundo se montará el modulo de RAM, que además contará con memoria extra (los otros 4GB) con la esperanza de que al cargar el sistema operativo (otro Windows 7) no se sobrescriban los datos alojados en la RAM “congelada”.

Aunque esta forma no es la más óptima, el objetivo es realizar una prueba de concepto simple y fácil de montar, ya habrá tiempo más adelante de probar en detalle.

El proceso llevado a cabo consistió en arrancar el PC con el modulo de 2 GB de RAM con sistema operativo Windows 7, en el que se abren diversos procesos: navegador firefox, imagen descargada de Google, un cliente de VoIP y otros programas. Con esto se busca dejar trazas en la RAM que puedan ser identificadas en un posterior análisis forense: se busca un punto conocido por el que poder buscar después.

Una vez hecho, botonazo y a empezar el lío. Con el PC previamente abierto, sacamos el módulo de RAM y se mete en un recipiente especializado (también conocido como tupper viejo de la cocina), se empieza a rociar la RAM para enfriarla y cuando han pasado unos segundos (a decir verdad no probé la temperatura, pero había cristales de hielo) la coges con el dedo y consigues el primer objetivo del post: dedo congelado.

Acto seguido, se conecta el modulo de RAM “congelado” y se enciende el PC. Cuando ha terminado de arrancar se lanza DumpIt la utilidad de volcado de RAM, una herramienta que crea una imagen en RAW del contenido de la memoria, que es lo que posteriormente será analizado.

Una vez hecho esto ya se puede pasar al siguiente paso, al cual me ayudó mi compañero David García (que tuvo la genial idea de utilizar foremost): análisis de la RAM. Para ello utilizamos dos herramientas clásicas: volatility y foremost. Con el primero encontramos diferentes procesos abiertos y demás, pero nada que nos pareciera una prueba concluyente. Con el segundo, foremost, encontramos esto:

Aunque como puede apreciarse, la imagen no está completa, pero se recupera gran parte y se ve claramente que es la imagen que se tenía en memoria.

No esta mal para un primer intento, ¿verdad? En otro post analizaremos soluciones a este tipo de ataques y formas de enfocar el forense, pero como resumen ya sabéis que a) no estáis a salvo solo con apagar el PC y b) debéis llevar un spray congelante si trabajáis para la NSA.

(Nota: el autor no se hace responsable de módulos de RAM rotos ni dedos congelados ;-) )

(La entrada de hoy corre a cargo de Mª José Montes)

Dentro de poco menos de tres semanas, se celebrará el primer congreso de Seguridad Informática de Córdoba, QurtubaCon.

Hasta ahora, en Córdoba, se venían celebrando dos eventos periódicos, que son Hack&Beer y HackLab. Dada la buena acogida de estos eventos y, con la ilusión de poder reunir a grandes figuras del sector de la seguridad, se gesta este congreso, organizado por la Comisión de Eventos de la Asociación Nacional de Profesionales del Hacking Ético (ANPhacket), lo forman Miguel Arroyo, Eduardo Sánchez, Enrique Palacios y una servidora, entre otros.

[Read more…]

¿Qué es YARA y para qué sirve?

YARA es una herramienta de código abierto para la identificación de malware la cual utiliza una gran variedad de técnicas. Su principal característica es su flexibilidad. Además, es de gran ayuda en situaciones de respuesta a incidentes, en las cuales tanto las herramientas como el tiempo, suelen ser limitados.

En este post vamos a crear un par de reglas para detectar payloads específicos de Metasploit y de Veil-evasion.

Escribir reglas para YARA es bastante sencillo. Aunque YARA ofrece multitud de opciones para crear reglas, solo hay que entender unos conceptos básicos para empezar. Observemos el siguiente ejemplo.

Regla YARA de ejemplo

[Read more…]

Alguien dijo en una ocasión: “Wikipedia es la nueva Biblia. Nadie sabe quién la escribió pero todo el mundo cree en ella”. Dejando aparte el acierto o no de la frase, se podría decir algo similar sobre los tutoriales que podemos encontrar por Internet. En este artículo vamos a hacer un breve análisis de lo que podemos encontrar en este tipo de guías (principalmente aplicable a las que están relacionadas con algún tema de informática, pero no por ello son las únicas) y hablaremos de una serie de precauciones y nociones básicas a tener en cuenta para no lanzarnos de cabeza con ellas, sino pensando y entendiendo lo que vamos haciendo.

Lo primero es buscar varias guías y echar un ojo por encima para ver los pasos que vamos a realizar y requisitos que necesitamos. Con ello podremos hacer un primer filtro sobre aquellos textos que nos parezcan excesivamente complejos o simplemente no nos enteremos de lo que estamos haciendo. Una vez hecho esto, pasamos a leer tranquilamente la guía elegida que vamos a seguir, con el objetivo de localizar posibles dudas que nos surjan y que no nos pille con las manos en la masa, al igual que erratas y similares. Si el tutorial contiene una sección de comentarios, es muy probable que otros usuarios hayan indicado los fallos que aparecen en el texto o problemas que les han surgido durante su realización, e incluso con la solución si tenemos suerte.

Hasta ahora solo hemos comentado cosas de sentido común. A continuación, entraríamos en la parte de seguridad, empezando por los enlaces que podamos ir encontrando a lo largo del tutorial. Por un lado, los que nos facilitan las descargas de ficheros que necesitemos sin tener que rebuscar demasiado en la página oficial del producto puede que nos proporcionen una versión obsoleta, quizás hasta con vulnerabilidades ya descubiertas, o incluso un fichero alojado en un hosting gratuito con “regalo” incluido (¿quién no se ha encontrado alguna vez con ese fichero nombre.zip.exe?).

Por otro lado, los enlaces acortados gracias a webs como TinyURL que tanto se pueden ver, por ejemplo, en descripciones de videos de YouTube, es posible que incluyan alguna que otra sorpresa (dependiendo de dónde estemos navegando y nuestro nivel de paranoia). Para estos casos existen dominios como TrueURL, mediante los cuales se puede averiguar el contenido de este tipo de redirecciones.

Como colofón, recomendar dar “un toque personal” a aquellas instalaciones donde se pueden configurar o editar algunas de sus propiedades. Para ello, vamos a ilustrarlo con un ejemplo basado en el gestor de contenidos WordPress. Tras realizar los preparativos previos (Apache, MySQL), nos conectamos a la dirección donde estamos hospedando el blog para comenzar la configuración inicial.

En muchas ocasiones campos como el nombre de la base de datos o los prefijos de la tabla se dejan con el texto sugerido por defecto para poder identificarlo fácilmente, pero para un posible atacante es una fuente de información que le puede ahorrar mucho trabajo.

Siempre es recomendable hacer modificaciones por otras referencias que nos resulten igual de fácil identificar que pertenecen al blog. Por ejemplo, si vamos a utilizarlo para promocionar el restaurante familiar cuyo nombre es “Arrocerías El Delfín”, podemos añadir una abreviatura al nombre de la base de datos y al prefijo de las tablas con el siguiente formato:

En definitiva, sobra decir que los pasos indicados anteriormente no son los únicos que podemos seguir para ir con pies de plomo. Incluso si seguimos buscando, seguro que podemos encontrar más consejos y continuar con un bastionado para aquello que estemos instalando, pero eso ya es tema para otra ocasión.

La pasada semana estuvimos mi compañero Amine y yo en el congreso de Seguridad RootedCON 2015 en Madrid. No hace falta que os hablemos de la importancia de estas conferencias a nivel nacional y, cada vez más, a nivel internacional (al menos en habla hispana).

Desde el pasado jueves 5 hasta el sábado 7, nos juntamos en el Centro de Congresos Príncipe Felipe unos cuantos compañeros de la profesión, estudiantes, cazatalentos de empresas de seguridad, miembros de las FCSE y todo tipo de “gente rarita” interesada por, sobretodo la Seguridad técnica, pero cada vez más presente, todo un abanico de diferentes tipos de seguridad.

Bueno, vamos al grano que hay mucha tela que cortar. Trataremos de haceros un breve resumen de cada una de las charlas a las que tuvimos la posibilidad de asistir, para que tengáis una idea de lo que se ha cocido este año por el congreso del candado.

[Read more…]

“La información es poder” es una frase célebre del filósofo inglés Francis Bacon, que a pesar de la distancia en el tiempo encaja a la perfección en la actualidad. Todo gira en torno a la información. Quedan ya pocas dudas sobre ello.

Hoy en día, es uno de los activos más importantes (si no el principal) que poseen las organizaciones. Con algunas dificultades y en ocasiones por la fuerza, las organizaciones van adquiriendo conciencia de que la información es vital para su desarrollo y crecimiento y de que el alineamiento entre requerimientos, aspectos técnicos y el negocio es no solo una opción, sino una necesidad. Aquí es donde entra COBIT (Control Objectives for Information and related Technology), un framework de “buenas prácticas” para el gobierno TI que proporciona un conjunto de herramientas de apoyo a los gestores TI.

La aplicación de COBIT garantiza el cumplimiento de las normativas del sector y aumenta la eficiencia y eficacia de las TI, ya que integra procesos y recursos de otros estándares y metodologías como ITIL y algunas normas ISO. De este modo, ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI, un elemento que juega un papel de “vida o muerte” para las empresas. COBIT Tiene una orientación hacia el proceso y un fuerte enfoque en el control más que en la ejecución. Dicho de otra forma, para lograr nuestros objetivos, COBIT nos ayudará a saber el qué, más que el cómo.

[Read more…]

Tiempo atrás leí una curiosa historia que recientemente volvió a mi mente cuando me pasó algo parecido.

La historia es la siguiente. Una persona empieza a recibir notificaciones sobre una supuesta cuenta en una plataforma de e-commerce que no se corresponde con su actividad ni con sus datos, y se pone en contacto con la compañía para advertir de la situación (que apuntaba a que alguien había facilitado su dirección de correo electrónico por error), pero a cambio obtiene por respuesta un “oiga, eso no es nuestro problema”.

Como siguiente paso, decide comprobar si en realidad se está preocupando por nada usando la socorrida opción “Olvidé mi contraseña” y como intuye, consigue acceder a la cuenta del otro usuario, que contiene todos sus datos personales y bancarios. Ante tal situación, la persona contacta de nuevo con la compañía para alertar del grave problema de seguridad, pero de nuevo recibe la respuesta “eso no es problema de nuestra empresa: el error es del usuario”. Técnicamente correcto, pero desde luego, no la respuesta que espera una recibir.

[Read more…]