Pescando en las entidades financieras

12 de marzo de 2015 Por

Hace unas semanas salió a la luz uno de los mayores robos cibernéticos de la historia; se habla de que los atacantes consiguieron sustraer cerca de 300 millones de dólares (aunque se estima que la cifra podría ser mucho más alta) de centenares de bancos, ahí es nada. Según una investigación revelada en exclusiva por el New York Times, Karspersky junto con la Interpol y la Europol, se encargó de investigar lo que llamó “operación sin precedentes” en la que los ciberdelincuentes habían estado operando desde hace un par de años sin despertar sospecha alguna.

La investigación empezó a finales de 2013, cuando un cajero en Kiev empezó a soltar billetes a la calle sin ningún motivo aparente a horas aleatorias del día.

Los responsables del robo son los miembros de una banda denominada Carbanak, una organización de la que forman parte ciberdelincuentes de medio mundo: China, Rusia, Ucrania, y otras partes de Europa. En este caso sus ataques no se centraban en robar las cuentas de los clientes de bancos, como suele ser lo habitual en los ataques de phishing, sino que directamente iban contra las instituciones financieras, simulando actividades cotidianas de sus empleados.

[Read more…]

¿Gmail como server de C&C? OMG! – Parte I

11 de marzo de 2015 Por

¿Qué os parecería si pudierais controlar un equipo a través de Gmail? Este es el tema del que vamos a hablar hoy. Descubrimos tras una pequeña búsqueda un script en Python desarrollado por @byt3bl33d3r que emplea los servidores de Gmail como un servidor de “Command and Control” (C&C).

¿Y qué es un servidor de Command and Control?
Un servidor de C&C o botmaster es el encargado de gestionar una red de equipos infectados conocidos como “bots”. Estos pueden ser manipulados a través de diversos canales, como por ejemplo IRC, con el objetivo de mandarles órdenes tales como el envío masivo de spam, ataques remotos, esnifar el tráfico de la red (traffic sniffers) o Denegación Distribuida de Servicio (DDoS – Distributed Denial of Service), etc.

¿Cómo funciona este script denominado “Pyexfil”?
Este script tiene la finalidad de controlar un equipo infectado o víctima a través del envío y recepción de correos electrónicos a una cuenta de gmail especificada por el atacante, empleando el protocolo SMTP sobre SSL/TLS que utiliza el puerto 587.

[Read more…]

Recuerda: utiliza sólo las redes WiFi oficiales

10 de marzo de 2015 Por

Aprovechando uno de los múltiples eventos de seguridad que se organizan en nuestro país, se me ocurrió hacer un pequeño experimento parecido al que mi compañero Roberto llevó a cabo hace ya un par de años, pero en este caso en un entorno algo más especializado (aunque podía encontrar uno público de todo tipo).

Antes de nada, es necesario decir que los datos recogidos fueron analizados únicamente a título estadístico y no se extrajo ningún tipo de información privada o sensible, y señalar que la organización se encargó de informar por diversos medios a los asistentes de que utilizasen únicamente la WiFi oficial del evento… pero ni por esas.

[Read more…]

¿Te gusta conducir? HackedDrive, tu aventura empieza ahora

9 de marzo de 2015 Por

A muchos de nosotros nos gustan los deportes de riesgo y qué mejor manera de demostrarlo que subirnos a un coche del que pensamos que tenemos el control pero que en realidad no es así. ¿Que tú quieres acelerar? Pues el coche decide frenar en seco… ¿que tienes frío? Vale, el coche te pone la calefacción a 30 grados y de ahí no baja. ¿No es un escenario fascinante?

Esta situación que a priori puede parecer poco probable e incluso algo peliculera, podría llegar a sucedernos a cualquiera de los que tengamos un modelo de coche relativamente nuevo.

Cada coche que sale al mercado incorpora nuevas funcionalidades y características integradas y controladas desde su ordenador de a bordo: desde la detección de lluvia que hace que se activen los limpias de manera automática hasta el control de aparcamiento asistido. Todas estas facilidades son posibles gracias a la incorporación de nuevas tecnologías y funcionalidades como parte de nuestros coches: NFC, Wifi, conexión 4G, sensores de presión en las ruedas o Bluetooth, entre otras. El único inconveniente de todo esto es que los coches no incorporan las correspondientes medidas de seguridad para evitar que como consecuencia directa también puedan ser “hackeados”.

[Read more…]

El discutible artículo 30 del ENS ¿hasta dónde adecuar?

6 de marzo de 2015 Por

En teoría este post llega 5 años tarde: hace ya 5 años que se publicó el Esquema Nacional de Seguridad (a partir de ahora ENS) y por lo tanto han pasado 5 años desde que cada organización debía empezar su adecuación estableciendo el alcance sus sistemas afectados por el ENS.

La realidad es que, como ya trataremos en el próximo post, existen muchísimas administraciones públicas que aún no han abordado un plan de adecuación, o que incluso siguen desarrollando o contratando servicios que no cumplen con las medidas del ENS. Por ello vamos a arrojar algo de luz sobre la definición del alcance que tantas dudas causa.

El ENS establece en su artículo 3 su ámbito de aplicación:

El ámbito de aplicación del presente real decreto será el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio.

Recordemos que el ENS existe para proteger la seguridad de la información afectada por la Ley 11/2007 (de acceso electrónico de los ciudadanos a los servicios públicos), por lo que tiene todo el sentido del mundo que su alcance sea el mismo que el de la “Ley 11”.

[Read more…]

Barbarities I: Banca electrónica

5 de marzo de 2015 Por

– Con este post me gustaría inaugurar una nueva sección en SAW llamada Barbarities, destinada a albergar cual pozo ciego, todas aquellas atrocidades que desde el punto de vista de seguridad uno ha ido viendo con el paso de los años. Se anima al lector a que comparta sus experiencias –

Barbarities… Hoy: La banca electrónica.

Los bancos, dentro de lo que cabe, hacen un esfuerzo por entregar a sus clientes medidas de protección ante el fraude y robo online a la hora de operar a través de sus páginas web o apps móviles. Códigos de validación de transacción por SMS, uso de https (qué menos…), teclados virtuales anti Click-hacking o tarjetas de coordenadas son solo algunos ejemplos de estas protecciones.

[Read more…]

Gafas que no le gustan a la NSA

4 de marzo de 2015 Por

Como era de esperar, en el MWC de Barcelona se han presentado multitud de novedades en el mundo de la tecnología móvil, principalmente. Sin embargo, eventos previos a la apertura del MWC hay otros como es el MobileFocus. No voy a hablar de las últimas novedades de Samsung. Aquí el protagonista es… ¡AVG! Sí, sí, has leído bien, AVG. La compañía antivirus y su departamento de Innovación ha presentado en el MobileFocus unas gafas que te hacen invisible.

Y no, no hablamos de invisibilidad cual capa de Harry Potter. Pero bueno, “it’s something”. Según explican en esta noticia de AVG, es posible gracias a varios materiales utilizados para fabricar estas gafas. Básicamente permite que, a la persona que lleva estas gafas, no se le pueda identificar mediante cámaras y otros sistemas de reconocimiento facial. Bueno, a quien se anime a llevarlas… más que nada porque son un poco feas. Pero, dejando de lado los aspectos estéticos, ¿cómo funcionan? Tal y como explica AVG funcionan gracias a dos principales materiales utilizados para su fabricación.

Por un lado, el uso de LEDs infrarrojos. Estos LEDs, en caso de estar encendidos, hacen que las cámaras sensibles a la longitud de onda de estos LEDs no puedan detectar los rasgos faciales. Claro que con esas gafas, ¿quién puede?

Por otro lado, el uso de material retroreflectante. Básicamente es un material que, en el momento de realizar la fotografía con flash, devuelve la luz tal como llega. Tal y como muestra la imagen:

Vale, muy bien, AVG, ¿y todo esto a santo de qué? Según nos cuentan tienen varios motivos por los que centrarse en el desarrollo de estas fantásticas gafas. Tienen como premisa la preocupación por la privacidad del usuario. Por lo tanto, los motivos que expone AVG son los siguientes:

  • Dado el uso masivo de smartphones tomando fotografías en sitios públicos, es (más que) probable que en alguna de ellas podamos salir sin nuestro consentimiento.
  • Proyectos como StreetView de Google permitirían identificar a una persona en uno o varios lugares públicos. Punto en el que no estoy muy de acuerdo, ya que Google suele censurar las fotos en las que aparece alguna persona. <mode paranoid on>Otra cosa es el uso interno que haga Google con las fotografías originales…<mode paranoid off>.
  • Proyectos como DeepFace de Facebook permiten el reconocimiento facial de las personas. Por tanto, permitiría a organizaciones y compañías hacer uso de esta característica, no solo para identificarnos si no también para cruzar esa información con otros datos encontrados en la Red.

Sin lugar a duda es un proyecto interesante, dado que estamos rodeados de cámaras de seguridad y videovigilancia, además de smartphones que pueden ser utilizados para espionaje (o contraespionaje). Aunque si te ven con eso puesto, lo que está claro es que vas a ser el centro de atención y desapercibido no vas a pasar precisamente :)

¿Qué opináis? ¿Se merece un empujón este proyecto? ¿Qué otras ventajas y/o inconvenientes encontráis? ¿Gafas de marca apostando por esta tecnología? ¿Os imagináis unas Google Glass con esta función?

Ahí dejo mis preguntas al aire para que respondáis. Feel Free!

Recopilación de información (Information gathering) sobre Logs de Proxy (II)

3 de marzo de 2015 Por

La semana pasada estuvimos viendo LightSquid y SquidAnalyzer como herramientas de análisis de logs para Squid. Una tercera herramienta interesante es:

SARG (Squid Analysis Report Generator)

Esta aplicación se encuentra implantada en multitud de organizaciones y al igual que SquidAnalyzer se encuentra actualmente en desarrollo. Como punto fuerte, podemos señalar la velocidad de procesamiento, gracias a que se trata de una aplicación compilada.

[Read more…]

ThreatExchange: Facebook busca aliados para compartir información sobre amenazas

2 de marzo de 2015 Por

La necesidad de colaboración para atajar las amenazas de seguridad de la información es una obviedad de la cual tanto organismos públicos como empresas privadas se están dando cuenta y están tomando cartas en el asunto. Esta semana ha saltado la noticia sobre una red colaborativa nacida de las manos de Facebook cuyo objetivo es el de compartir fácilmente información de amenazas informáticas entre organizaciones, y aprender de los descubrimientos de otros con el fin de hacer los sistemas más seguros. Así lo define Mark Hammel, Responsable de ThreatExchange.

“Our goal is that organizations anywhere will be able to use ThreatExchange to share threat information more easily, learn from each other’s discoveries, and make their own systems safer. That’s the beauty of working together on security. When one company gets stronger, so do the rest of us.” [1]

A esta iniciativa de Facebook se unieron en primer lugar Pinterest, Tumblr (cuyo propietario es Yahoo!), Twitter y Yahoo!. Posteriormente se han sumado empresas como Bitly y Dropbox. Los promotores de esta iniciativa pretenden que se unan más empresas y expertos en seguridad para compartir de forma ágil la información sobre las amenazas a las que todos estamos expuestos en la red.

En primer lugar lo que solicitan para el registro es el nombre y una dirección de correo corporativa, imagino para posteriormente establecer un acuerdo con cada uno de las organizaciones adheridas. Resulta importante saber qué se puede hacer con esa información y qué medidas de seguridad hay implantadas para garantizar que el uso que se haga de esa información sea legítimo. Por lo que he podido comprobar, no aparecen las condiciones de la plataforma aunque aseguran que hay implantados controles de privacidad para que cada participante pueda compartir la información solo con el grupo o grupos que desee. Pero no puedo evitar preguntarme… ¿quién será el responsable de la información compartida? ¿Qué uso se podrá hacer de la misma? ¿Realmente van a compartir estas grandes empresas las amenazas que pueden vulnerar o han podido vulnerar sus sistemas?

Desde luego considero que es un avance esta conciencia de seguridad y que las grandes empresas colaboren por la seguridad de las organizaciones y de los propios ciudadanos pero, sin querer ser desconfiado, me llama la atención que esta iniciativa salga de Facebook. Sin lugar a dudas, es una empresa con unos números impresionantes, más de 1.350 millones de usuarios activos, pero la cual también ha sido noticia en otras ocasiones por su política de privacidad y el uso que hace de los datos personales de sus usuarios. No seré yo el que reniegue de este paso que han dado con el ThreatExchange pero estoy expectante para ver si organismos públicos o CERTs respaldan y colaboran con esta iniciativa.

Esta última semana también se ha publicado una noticia de que el gobierno de Estados Unidos ha dado un paso más en la lucha antiterrorista en la red. Ha creado una agencia cuyo objetivo es conectar las acciones de las diferentes agencias federales que actualmente se ocupan de la ciberseguridad. La agencia se llama Cyber Threat Intelligence Integration Center (CTIIC) [2]. Un movimiento más de los que vienen dando los estados en este sentido, que desde luego demuestran la importancia de la seguridad en Internet y van dando pasos en esta dirección.

Veremos cómo evoluciona la iniciativa ThreatExchange y los efectos que ésta tiene. Sinceramente ojalá tenga éxito y el verdadero objetivo sea mejorar entre todos la seguridad.

Doble factor de autenticación, o cómo ponérselo difícil a un atacante

27 de febrero de 2015 Por

La doble autenticación es uno de esos mecanismos de protección muy familiares para la gente relacionada con ciberseguridad pero que, sin embargo, es una gran desconocida para el gran público. Este artículo pretende llegar a ese sector, cuyas cuentas de usuario son cada vez más interesantes para posibles atacantes. En futuras entradas ya me meteré más en harina y veremos aspectos más interesantes.

Para acceder a cualquier servicio es necesario que el usuario se identifique, proporcionando un identificador único en el dominio, como por ejemplo un nombre de usuario (o nickname), dirección de correo electrónico, documento nacional de identidad, número de seguridad social, etc. Esta información identifica al usuario, pero no lo autentifica, puesto que esta información no es secreta y cualquiera podría saberla.

Al identificador de usuario le debe acompañar algo más para que el sistema confíe en él y le permita el acceso. Hay tres factores de autenticación:

  • Algo que el usuario sabe: password, pin, passphrase, etc.
  • Algo que el usuario tiene: USB, llave, tarjeta, generador de claves, etc.
  • Algo que el usuario es: huella dactilar, iris, secuencia ADN, firma, reconocimiento facial, reconocimiento de voz u otros identificadores biométricos, etc.

Los métodos tradicionales de autenticación, familiares ya para todos, se basan en el uso de un identificador único de usuario acompañado de una contraseña que solo el usuario conoce. Pero, ¿qué pasa cuando la contraseña es interceptada o robada por otro usuario? Nadie quiere comprobarlo en primera persona.

El doble factor de autenticación, conocido también como 2FA o TFA, se basa en el uso conjunto de dos de los factores anteriormente mencionados; el ejemplo más usado es la generación de claves basadas en tiempo, donde el usuario debe introducir su password seguido de una clave temporal. Ésta es de un solo uso, tiene una validez de pocos segundos y es generada generalmente en el teléfono móvil, el cual ha sido previamente configurado con una semilla para generación de claves. En este caso un atacante podría interceptar la clave del usuario y el código temporal, pero ésta última, al tratarse de una clave temporal de un sólo uso no le resultaría útil. El atacante necesitaría la semilla con la que se generan las claves temporales, pero ésta no circula por la red, por lo que un man-in-the-middle resulta inútil.

Otras veces la clave temporal se genera en el servidor y se le envía al usuario en un mensaje SMS al teléfono movil, o por correo electrónico.

Si piensas que las claves temporales no son algo práctico ahora también es posible comprar llaves de seguridad en Internet. Se trata de llaves USB que contienen un certificado, y que tienes que insertar en un puerto de usb en el momento de introducir tu password.

A pesar de todo, la doble autenticación no es infalible, y como suele ser habitual el eslabón más débil suele ser el usuario, aunque este tipo de soluciones se lo ponen técnicamente muy difícil a los posibles atacantes. Kevin Mitnick cuenta en su libro “Ghost in the wires” como engañó a un operador de red de una importante multinacional para saltarse esta protección, haciéndose pasar por un empleado que no encontraba su tarjeta de claves.

A estas alturas puede que ya te haya convencido para usar el doble factor de autenticación, y te estés haciendo la pregunta: ¿dónde lo puedo usar?

Por suerte cada vez más servicios ofrecen esta posibilidad, aunque por el momento no todos. Algunos ejemplos son Google, Dropbox, Facebook, PayPal, eBay y Twitter. En https://twofactorauth.org/ puedes consultar una tabla de servicios y, en caso de ofrecer la posibilidad del doble factor de autenticación, los mecanismos que ofrecen.

Para hacer un resumen, la doble autenticación:

  • Reduce o elimina el robo de cuentas mediante phising.
  • Elimina el robo de cuentas mediante ataques man-in-the-middle.
  • Dificulta la impersonalización.
  • Y lo más importante: da algo de que hablar con tus amigos cuando te preguntan: ¿qué es ese USB raro que tienes en tu llavero?

Entonces es cuando les puedes soltar este rollo que acabas de leer, o incluso escribir un artículo. Hasta el próximo post :)