Security Art Work

La pasada semana estuvimos mi compañero Amine y yo en el congreso de Seguridad RootedCON 2015 en Madrid. No hace falta que os hablemos de la importancia de estas conferencias a nivel nacional y, cada vez más, a nivel internacional (al menos en habla hispana).

Desde el pasado jueves 5 hasta el sábado 7, nos juntamos en el Centro de Congresos Príncipe Felipe unos cuantos compañeros de la profesión, estudiantes, cazatalentos de empresas de seguridad, miembros de las FCSE y todo tipo de “gente rarita” interesada por, sobretodo la Seguridad técnica, pero cada vez más presente, todo un abanico de diferentes tipos de seguridad.

Bueno, vamos al grano que hay mucha tela que cortar. Trataremos de haceros un breve resumen de cada una de las charlas a las que tuvimos la posibilidad de asistir, para que tengáis una idea de lo que se ha cocido este año por el congreso del candado.

[Read more…]

“La información es poder” es una frase célebre del filósofo inglés Francis Bacon, que a pesar de la distancia en el tiempo encaja a la perfección en la actualidad. Todo gira en torno a la información. Quedan ya pocas dudas sobre ello.

Hoy en día, es uno de los activos más importantes (si no el principal) que poseen las organizaciones. Con algunas dificultades y en ocasiones por la fuerza, las organizaciones van adquiriendo conciencia de que la información es vital para su desarrollo y crecimiento y de que el alineamiento entre requerimientos, aspectos técnicos y el negocio es no solo una opción, sino una necesidad. Aquí es donde entra COBIT (Control Objectives for Information and related Technology), un framework de “buenas prácticas” para el gobierno TI que proporciona un conjunto de herramientas de apoyo a los gestores TI.

La aplicación de COBIT garantiza el cumplimiento de las normativas del sector y aumenta la eficiencia y eficacia de las TI, ya que integra procesos y recursos de otros estándares y metodologías como ITIL y algunas normas ISO. De este modo, ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI, un elemento que juega un papel de “vida o muerte” para las empresas. COBIT Tiene una orientación hacia el proceso y un fuerte enfoque en el control más que en la ejecución. Dicho de otra forma, para lograr nuestros objetivos, COBIT nos ayudará a saber el qué, más que el cómo.

[Read more…]

Tiempo atrás leí una curiosa historia que recientemente volvió a mi mente cuando me pasó algo parecido.

La historia es la siguiente. Una persona empieza a recibir notificaciones sobre una supuesta cuenta en una plataforma de e-commerce que no se corresponde con su actividad ni con sus datos, y se pone en contacto con la compañía para advertir de la situación (que apuntaba a que alguien había facilitado su dirección de correo electrónico por error), pero a cambio obtiene por respuesta un “oiga, eso no es nuestro problema”.

Como siguiente paso, decide comprobar si en realidad se está preocupando por nada usando la socorrida opción “Olvidé mi contraseña” y como intuye, consigue acceder a la cuenta del otro usuario, que contiene todos sus datos personales y bancarios. Ante tal situación, la persona contacta de nuevo con la compañía para alertar del grave problema de seguridad, pero de nuevo recibe la respuesta “eso no es problema de nuestra empresa: el error es del usuario”. Técnicamente correcto, pero desde luego, no la respuesta que espera una recibir.

[Read more…]

Hace unas semanas salió a la luz uno de los mayores robos cibernéticos de la historia; se habla de que los atacantes consiguieron sustraer cerca de 300 millones de dólares (aunque se estima que la cifra podría ser mucho más alta) de centenares de bancos, ahí es nada. Según una investigación revelada en exclusiva por el New York Times, Karspersky junto con la Interpol y la Europol, se encargó de investigar lo que llamó “operación sin precedentes” en la que los ciberdelincuentes habían estado operando desde hace un par de años sin despertar sospecha alguna.

La investigación empezó a finales de 2013, cuando un cajero en Kiev empezó a soltar billetes a la calle sin ningún motivo aparente a horas aleatorias del día.

Los responsables del robo son los miembros de una banda denominada Carbanak, una organización de la que forman parte ciberdelincuentes de medio mundo: China, Rusia, Ucrania, y otras partes de Europa. En este caso sus ataques no se centraban en robar las cuentas de los clientes de bancos, como suele ser lo habitual en los ataques de phishing, sino que directamente iban contra las instituciones financieras, simulando actividades cotidianas de sus empleados.

[Read more…]

¿Qué os parecería si pudierais controlar un equipo a través de Gmail? Este es el tema del que vamos a hablar hoy. Descubrimos tras una pequeña búsqueda un script en Python desarrollado por @byt3bl33d3r que emplea los servidores de Gmail como un servidor de “Command and Control” (C&C).

¿Y qué es un servidor de Command and Control?
Un servidor de C&C o botmaster es el encargado de gestionar una red de equipos infectados conocidos como “bots”. Estos pueden ser manipulados a través de diversos canales, como por ejemplo IRC, con el objetivo de mandarles órdenes tales como el envío masivo de spam, ataques remotos, esnifar el tráfico de la red (traffic sniffers) o Denegación Distribuida de Servicio (DDoS – Distributed Denial of Service), etc.

¿Cómo funciona este script denominado “Pyexfil”?
Este script tiene la finalidad de controlar un equipo infectado o víctima a través del envío y recepción de correos electrónicos a una cuenta de gmail especificada por el atacante, empleando el protocolo SMTP sobre SSL/TLS que utiliza el puerto 587.

[Read more…]

Aprovechando uno de los múltiples eventos de seguridad que se organizan en nuestro país, se me ocurrió hacer un pequeño experimento parecido al que mi compañero Roberto llevó a cabo hace ya un par de años, pero en este caso en un entorno algo más especializado (aunque podía encontrar uno público de todo tipo).

Antes de nada, es necesario decir que los datos recogidos fueron analizados únicamente a título estadístico y no se extrajo ningún tipo de información privada o sensible, y señalar que la organización se encargó de informar por diversos medios a los asistentes de que utilizasen únicamente la WiFi oficial del evento… pero ni por esas.

[Read more…]

A muchos de nosotros nos gustan los deportes de riesgo y qué mejor manera de demostrarlo que subirnos a un coche del que pensamos que tenemos el control pero que en realidad no es así. ¿Que tú quieres acelerar? Pues el coche decide frenar en seco… ¿que tienes frío? Vale, el coche te pone la calefacción a 30 grados y de ahí no baja. ¿No es un escenario fascinante?

Esta situación que a priori puede parecer poco probable e incluso algo peliculera, podría llegar a sucedernos a cualquiera de los que tengamos un modelo de coche relativamente nuevo.

Cada coche que sale al mercado incorpora nuevas funcionalidades y características integradas y controladas desde su ordenador de a bordo: desde la detección de lluvia que hace que se activen los limpias de manera automática hasta el control de aparcamiento asistido. Todas estas facilidades son posibles gracias a la incorporación de nuevas tecnologías y funcionalidades como parte de nuestros coches: NFC, Wifi, conexión 4G, sensores de presión en las ruedas o Bluetooth, entre otras. El único inconveniente de todo esto es que los coches no incorporan las correspondientes medidas de seguridad para evitar que como consecuencia directa también puedan ser “hackeados”.

[Read more…]

En teoría este post llega 5 años tarde: hace ya 5 años que se publicó el Esquema Nacional de Seguridad (a partir de ahora ENS) y por lo tanto han pasado 5 años desde que cada organización debía empezar su adecuación estableciendo el alcance sus sistemas afectados por el ENS.

La realidad es que, como ya trataremos en el próximo post, existen muchísimas administraciones públicas que aún no han abordado un plan de adecuación, o que incluso siguen desarrollando o contratando servicios que no cumplen con las medidas del ENS. Por ello vamos a arrojar algo de luz sobre la definición del alcance que tantas dudas causa.

El ENS establece en su artículo 3 su ámbito de aplicación:

Recordemos que el ENS existe para proteger la seguridad de la información afectada por la Ley 11/2007 (de acceso electrónico de los ciudadanos a los servicios públicos), por lo que tiene todo el sentido del mundo que su alcance sea el mismo que el de la “Ley 11”.

[Read more…]

– Con este post me gustaría inaugurar una nueva sección en SAW llamada Barbarities, destinada a albergar cual pozo ciego, todas aquellas atrocidades que desde el punto de vista de seguridad uno ha ido viendo con el paso de los años. Se anima al lector a que comparta sus experiencias –

Barbarities… Hoy: La banca electrónica.

Los bancos, dentro de lo que cabe, hacen un esfuerzo por entregar a sus clientes medidas de protección ante el fraude y robo online a la hora de operar a través de sus páginas web o apps móviles. Códigos de validación de transacción por SMS, uso de https (qué menos…), teclados virtuales anti Click-hacking o tarjetas de coordenadas son solo algunos ejemplos de estas protecciones.

[Read more…]

Como era de esperar, en el MWC de Barcelona se han presentado multitud de novedades en el mundo de la tecnología móvil, principalmente. Sin embargo, eventos previos a la apertura del MWC hay otros como es el MobileFocus. No voy a hablar de las últimas novedades de Samsung. Aquí el protagonista es… ¡AVG! Sí, sí, has leído bien, AVG. La compañía antivirus y su departamento de Innovación ha presentado en el MobileFocus unas gafas que te hacen invisible.

Y no, no hablamos de invisibilidad cual capa de Harry Potter. Pero bueno, “it’s something”. Según explican en esta noticia de AVG, es posible gracias a varios materiales utilizados para fabricar estas gafas. Básicamente permite que, a la persona que lleva estas gafas, no se le pueda identificar mediante cámaras y otros sistemas de reconocimiento facial. Bueno, a quien se anime a llevarlas… más que nada porque son un poco feas. Pero, dejando de lado los aspectos estéticos, ¿cómo funcionan? Tal y como explica AVG funcionan gracias a dos principales materiales utilizados para su fabricación.

Por un lado, el uso de LEDs infrarrojos. Estos LEDs, en caso de estar encendidos, hacen que las cámaras sensibles a la longitud de onda de estos LEDs no puedan detectar los rasgos faciales. Claro que con esas gafas, ¿quién puede?

Por otro lado, el uso de material retroreflectante. Básicamente es un material que, en el momento de realizar la fotografía con flash, devuelve la luz tal como llega. Tal y como muestra la imagen:

Vale, muy bien, AVG, ¿y todo esto a santo de qué? Según nos cuentan tienen varios motivos por los que centrarse en el desarrollo de estas fantásticas gafas. Tienen como premisa la preocupación por la privacidad del usuario. Por lo tanto, los motivos que expone AVG son los siguientes:

• Dado el uso masivo de smartphones tomando fotografías en sitios públicos, es (más que) probable que en alguna de ellas podamos salir sin nuestro consentimiento.
• Proyectos como StreetView de Google permitirían identificar a una persona en uno o varios lugares públicos. Punto en el que no estoy muy de acuerdo, ya que Google suele censurar las fotos en las que aparece alguna persona. <mode paranoid on>Otra cosa es el uso interno que haga Google con las fotografías originales…<mode paranoid off>.
• Proyectos como DeepFace de Facebook permiten el reconocimiento facial de las personas. Por tanto, permitiría a organizaciones y compañías hacer uso de esta característica, no solo para identificarnos si no también para cruzar esa información con otros datos encontrados en la Red.

Sin lugar a duda es un proyecto interesante, dado que estamos rodeados de cámaras de seguridad y videovigilancia, además de smartphones que pueden ser utilizados para espionaje (o contraespionaje). Aunque si te ven con eso puesto, lo que está claro es que vas a ser el centro de atención y desapercibido no vas a pasar precisamente :)

¿Qué opináis? ¿Se merece un empujón este proyecto? ¿Qué otras ventajas y/o inconvenientes encontráis? ¿Gafas de marca apostando por esta tecnología? ¿Os imagináis unas Google Glass con esta función?

Ahí dejo mis preguntas al aire para que respondáis. Feel Free!