25 febrero 2015

Windows: El sistema operativo menos vulnerable de 2014




Según leo en The Hacker News, un análisis publicado en el blog de la compañía de seguridad GFI, muestra como claro vencedor, en un ranking donde el contador es el número de vulnerabilidades parcheadas en 2014, a los sistemas operativos basados Windows, en contra de los basados en Mac OS X y Linux.

¡Toma ya! ¿Quién iba a decir hace unos años eh?

Si se mira uno a fondo el informe, y aunque estadísticamente sea impecable, se pone de manifiesto que 2014 fue un año nefasto para la seguridad de los usuarios en Internet. Se resaltan vulnerabilidades de alto impacto como Heartbleed o Shellshock (del que Windows también tuvo algo similar con Winshock).

Si se observa esta tabla, obtenida del propio blog de GFI, está más que claro que por vulnerabilidades parcheadas (y sobre todo de impacto alto y medio), los sistemas operativos basados en Apple y Linux salen perdiendo. 

Linux and Mac OS X Most Vulnerable Operating System In 2014

Sin embargo, lectores, quiero matizar un poco lo que aquí se concluye, porque sinceramente no estoy del todo de acuerdo.

Es decir, los números no los podemos cambiar y son esos, sin embargo, creo que tener en cuenta qué sistema operativo elegir para tu uso diario basándote únicamente en el número de vulnerabilidades descubiertas y corregidas, es cuanto menos poco objetivo.

Además del sistema operativo, a lo largo del día hacemos uso de un compendio de aplicaciones, servicios e interacción con el mundo que no siempre son nativas al sistema operativo: Procesador de textos, hoja de cálculo, correo y navegación, son vitales, y también son herramientas susceptibles de ser vulnerables.

En este sentido, el informe de GFI también dedica una tabla completa al apartado de aplicaciones:

application chart
De este análisis se desprende que Internet Explorer es, de lejos, el navegador más vulnerable del mercado. ¿En qué otro sistema operativo que no sea Windows viene de forma nativa Internet Explorer? Ah sí, en ninguno.

En la parte de los plugins no se salva ninguno y Flash, Java y Adobe Reader revientan en montones de sitios. Ante eso estamos igual de expuestos los usuarios de Mac OS X y Linux, ventajas de que el malware también sea multiplataforma

Lo que es, sin duda, un factor que no se ha tenido en cuenta en el análisis es la cantidad de dispositivos con Windows, con Mac OS X y con Linux. Obviamente, cuanto mayor sea el parque de equipos con un sistema operativo, más extendido se encontrará éste y los creadores de malware se preocuparán de que este funcione en aquel sistema operativo del que mayor sea el beneficio de la captura.

Por este motivo, y si tuviera que decir un sistema operativo más seguro, para mi tranquilidad, diría que ninguno me convence al 100%. Pero teniendo en cuenta todos los factores aquí mencionados, si tuviera que priorizar me quedaría con Linux, luego con Mac y luego con Windows. Aunque soy usuario declarado y contento de Mac, porque para mi trabajo diario, tiene el balance entre rendimiento y comodidad que mejor me viene, tengo claro que en seguridad, me sentía mucho más tranquilo cuando usaba Linux como sistema operativo de escritorio (sobre todo en versiones más antiguas, que me permitían controlar mejor los procesos que se ejecutaban en él).

En cualquier caso, esta reflexión sobre qué sistema operativo es mejor o quién la tiene más larga, sí o sí, deriva en un flame, en el que no pienso entrar.

En mi opinión, no hay sistema operativo seguro, todos son susceptibles de que por un punto u otro, y en un amplio porcentaje, por culpa del usuario, se comprometa la seguridad de los datos.

Lo que está claro es que en todos es el propio usuario quien tiene que tener las precauciones necesarias para intentar evitar ser infectado, contar con sistemas antimalware, software que prohiba las conexiones salientes en puertos no estándar, instalar cuantos menos plugins sea posible (Java, Flash, Adobe *, etc,...), no abrir documentos de fuente no fiable, ni enlaces acortados de forma directa, cifrar el disco con una contraseña en pre-boot, utilizar un gestor de contraseñas, y cuantas más soluciones y procedimientos paranoides se os ocurran.... Y aún así... por supuesto que no estaremos del todo seguros, pero mitigaremos unas cuántas amenazas.

Y sí, estos consejos valen para ser usados en todos los sistemas operativos.  


ACTUALIZACIÓN: La fuente de esta noticia para mí ha sido el blog de GFI, de la que me he enterado vía The Hacker News, aunque la información original proviene de la National Vulnerability Database del Gobierno Americano
Leer más...

24 febrero 2015

Man in the middle en épocas de crisis


Desde que empecé a estudiar de nuevo, en este caso un Ciclo de Grado superior de Administración de Sistemas Informáticos en Red en el centro Don Bosco de Villamuriel de Cerrato, Palencia, me he comenzado a interesar más por el mundo de la seguridad informática y el hacking, en gran parte por culpa del profesor del módulo de Seguridad y Alta disponibilidad Amador Aparicio y sus retos hacker.

Una vez que comienzas en este mundo, aunque sea a pequeña escala, no haces más que mirar las redes, aplicaciones, páginas web... con otros ojos, de una forma diferente, con el fin de intentar llevar la tecnología un poco más lejos. Desde siempre he sido alguien curioso y al que le gustaba "cacharrear", por lo que casi siempre mis amigos antes de tirar algo, me preguntan para ver si "adopto" algún cacharro viejo.

En este caso un amigo me avisó de que iba a tirar un router de la compañía roja, un Observa Telecom VH4032N sin estrenar y claro, no podía permitir que acabara así sus días, por lo que con el router ya en casa me puse a leer sobre él y sus características para buscarle un nuevo uso.

Figura 1 - Modelo utilizado para esta prueba

Decidí que para poder sacarle partido debía lograr quitar el software que traía y "liberarlo" para poder usarlo a mi antojo, por lo que saqué del cajón el adaptador serie a USB, un puñado de cables y me descargue un firmware OpenWRT para ponerme manos a la obra. 

Figura 2 - Conexión del adaptador Serie-USB al router

El proceso es sencillo y se basa en una de las características de este router y que muchos otros integran, y es la posibilidad de acceder a un modo de rescate en caso de que se produzca un error en memoria durante el proceso de carga del firmware. Los pasos que seguí fueron los siguientes:


  • Conectar el adaptador al puerto serie del router, En este caso se disponía de los pines para ello, pero en otros casos puede ser necesario soldar algún conector a la placa, habitualmente en los manuales de fabricante aparece donde se debe soldar o conectar ese conector para la comunicación serie.


  • Comunicarnos con el equipo a través de algún programa como Putty que nos permita establecer una conexión serie con los parámetros específicos de cada fabricante.


  • Durante el arranque del equipo, interrumpiremos la carga del firmware, en este caso simplemente con una combinación de teclas aunque puede haber casos que requieran realizar un puente entre algunos pines de la placa.


  • Una vez en modo rescate usaremos un servidor TFTP para subir el firmware de OpenWRT al router y poder flashearlo, utilizando los comandos propios de cada fabricante.


Una vez seguidos estos pasos ya tenía mi router con un nuevo firmware mucho más flexible, por lo que ahora quedaba buscarle un buen uso. Fue entonces cuando se me ocurrió montar algo parecido a una Pinneapple Mark en mi nuevo router, pero en este caso sería una piña "low cost" como la basada en Raspberry, que ya se trató en otra entrada de SecurityByDefault, aunque sea de una manera sencilla y con un uso más limitado.

Lo primero es dotar al router de conexión a Internet pero sin depender de una red WiFi para que sea más versátil, por lo que instalé los módulos necesarios (kmod-USB, Comgt...) para hacer funcionar un pincho 3G liberado previamente y con el firmware modificado para dar conexión a nuestro "Rogue router", haciendo que no tenga la funcionalidad de almacenamiento USB y solo cargue únicamente como módem, evitando que tengamos que cambiar el modo de funcionamiento desde el Router en caso de un posible reinicio.

Superado el paso de dar Internet a los usuarios del router, barajé varias opciones para realizar las capturas de tráfico, aunque al final, debido a las limitaciones hardware del aparato, opté por un clásico que nunca pasa de moda, TCPDump.

Figura 3 - Ejemplo de captura con TCPDump

Respecto al acceso a estas capturas, el firmware trae soporte para varios servicios, como OpenVPN, Sendmail (para enviar las capturas en un correo), Pure-FTP, etc... que nos permitirán recoger los datos obtenidos.

En este caso instalé un servidor Pure-FTP en el router para descargarme los archivos de captura junto a una entrada en el Crontab del mismo para ejecutar tanto el servidor como el TCPDump, cuando mejor me convenga. La solución no es muy discreta pero para esta prueba era suficiente.

El resultado final ha sido un "juguete" muy curioso para auditoría de redes WiFi. Tras una tarde colocado en mi casa realizando pruebas (siempre los familiares son los daños colaterales de estos experimentos) pude obtener ciertos datos de "interés".

Imágenes de la navegación...

Figura 4 - Salida de NetworkMiner al abrir la captura

Archivos descargados...(aunque no sea el archivo en sí, podemos saber su nombre y ruta de descarga)

Figura 5 - Archivos "reconstruidos" por NetworkMiner

E incluso alguna que otra contraseña...

Figura 6 - Contraseñas capturas en navegación sin https

En este firmware incluso disponemos de herramientas para hacer que los leds del equipo simulen tráfico y levanten menos sospechas, así podremos hacernos con las capturas de tráfico, o implementar otro tipo de ataques. Como pueda ser la explotación de un Shellshock en equipos sin parchear para obtener más información o realizar una denegación de servicio apagando equipos simplemente configurando nuestro router con DNSMasq y haciendo que en las peticiones DHCP vaya la cadena que explota este fallo, tal y como he estado comprobando en otras pruebas.

Figura 7 - Paquetes disponibles ser instalados

Las posibilidades son muchas al disponer del control del router, como la configuración de unos servidores DNS que no sean legítimos para redirigir las consultas donde nos interese, disponer de soporte para SSLStrip para comprobar la seguridad de las peticiones https... las ideas son muchas.

Esto me ha dado que pensar en varias opciones... Por ejemplo a través de un correo electrónico podemos saber la dirección IP de un remitente que puede ser una empresa o administración pública y a través de esta información conocer su proveedor de Internet con la intención de colocar mediante ingeniería social (o echándole morro en su defecto) un router modificado.

Otro caso podría ser que una vez conocemos el número de móvil de una persona (fácil ahora mismo a través de las diferentes redes sociales) si es o ha sido de la compañía del que disponemos el router modificado, podemos justificar el cambio del equipo con la excusa de un nuevo servicio más veloz o con nuevas funciones.

Aunque todo lo mostrado sea un proceso simple no deja de ser un buen entrenamiento para alguien que está empezando en esto de la seguridad y que no siempre dispone de muchos medios económicos para disponer de hardware más especializado supliendo esa carencia con ganas de aprender, imaginación y conocimientos, que al fin y al cabo no deja de ser eso la esencia del Hacking, ¿No?


Contribución por cortesía de Héctor Alonso (@hector6598)


Leer más...

22 febrero 2015

Enlaces de la SECmana - 264


Leer más...

20 febrero 2015

Tendencias sobre seguridad (IMHO)


Mucha gente nos envía correos preguntando por nuestra opinión con respecto a qué tecnologías merece la pena apostar, qué titulaciones tienen futuro o simplemente, cual lenguaje de programación es el que ahora 'lo peta'


Estas preguntas son difíciles de responder ya que siempre tienen un componente altamente subjetivo, no obstante hay algunos criterios que sí suelen ser bastante obvios. En esta entrada voy a expresar mi punto de vista.



Dentro de la seguridad, ¿qué áreas están ahora al rojo vivo?


Sube claramente:
  • Respuesta ante incidentes (detección de intrusos, análisis de malware, etc)
  • Análisis forense (Área que no deja de crecer)
  • Reputación Online (búsqueda de información sensible que afecte a una compañía / persona, gestión de 'leaks' ...)

Se mantiene:
  • Pentest y Auditorías (y esto va a seguir en el TOP años y años y años)
  • Hardening / bastionado (No tiene el tirón que tuvo hace algún tiempo, pero sigue siendo apuesta segura)

A la baja:
  • Auditorías 'de papel' (entendiendo por 'papel', LOPD, normativas, etc)
  • Redes (Firewalls, elementos de red, etc)
  • Exploiting / cazador de 0Days (la barrera de entrada actual a nivel técnico es MUY ELEVADA, se requiere profundizar mucho y el sector cuenta con actores muy consolidados. Si te metes en esto y eres un crack, vas a forrarte, pero tu caso será 1 entre 1.000.000)


Si tengo que aprender un lenguaje ¿Cual triunfa actualmente?

Sube claramente:
  • Python (Te guste o no, hoy día todo en seguridad es Python)
Se mantiene:
  • C y C++ (Esto es como el pentest, siempre va a estar arriba ...)
  • Perl (En Europa claramente está en decadencia, pero EEUU sigue contando con una legión de programadores de Perl enfocados a seguridad)
A la baja:
  • PHP (En algún momento estuvo de moda ...)
  • Ruby (Metasploit es Ruby y eso creó un 'hype' con este lenguaje que no ha terminado de cuajar)

Titulaciones y formación en seguridad


Sube claramente:

Se mantiene:
  • Los masters universitarios sobre seguridad
  • Los talleres presenciales

A la baja:
  • Las certificaciones CISSP, CISA y CISM (años atrás eran imprescindibles, hoy día ya no tienen tirón)
  • La certificación CEH    

Sistemas operativos

Sube claramente:
  • Android
  • IOS

Se mantiene:
  • Linux
  • Windows

A la baja:
  • Solaris
  • Sistemas *BSD   

Países para ir a trabajar  


Sube claramente:
  • Argentina, Chile, Colombia y en general sudamérica (ahora mismo, destinos HOT para buscar trabajo en seguridad)
  • EEUU (Siempre vas a encontrar trabajo)

Se mantiene:
  • Inglaterra
  • Alemania   

A la baja:
  • Francia (muchas de las empresas creadas entre el 2000 y el 2010 no han terminado de funcionar)
  • Rusia (Fue un destino HOT hace 3-4 años)    
Leer más...

18 febrero 2015

Rooted CON 2015

En apenas 2 semanas comenzará uno de los congresos más importantes de España en cuanto a seguridad informática se refiere. Tendrá lugar los días 5, 6 y 7 de Marzo de 2015 en el Centro de Congresos Principe Felipe del Hotel Auditorium Madrid y espera más de 1000 asistentes al igual que la edición del 2014.

Charlas y ponentes

Se han anunciado ya todos los ponentes y ponencias que formarán los 3 días repletos de charlas inéditas con protagonistas de lujo. Además también está disponible la agenda.

  • David Perez y José Picó – Ampliando el arsenal de ataque Wi-Fi
  • David Barroso – Infección en BIOS, UEFI y derivados: desde el mito a la realidad
  • Pablo Casais – (in)seguridad en el gran casino
  • Alejandro Ramos – Rojos y Azules: dos equipos con dos sabores
  • Jose Selvi – El tiempo en MIS manos
  • Alfonso Muñoz y Antonio Guzman – Finding stegomalware in an ocean of apps…
  • Abel Valero – WEBEX: Análisis de datos en bruto
  • Ricardo J. Rodríguez y José Vila – On Relaying NFC Payment Transactions using Android devices
  • Eduardo Arriols – Physical Penetration Testing
  • Adrian Villa – Bypassing DRM Protections at Content Delivery Networks
  • Jorge Bemúdez – LECr* Service Pack 2 (* Ley de Enjuiciamiento Criminal, Criminal Procedure Act)
  • Julian Vilas – Deep inside the Java framework Apache Struts (Str-SUCK-ts)
  • Hugo Teso – El Manco: Y por último, pero no por ello menos importante…
  • Yaiza Rubio y Felix Brezo – How I met your eWallet
  • Chema Alonso – Can I play with madness
  • Christian Lopez – Bug Bounties 101
  • Sebastián Guerrero – Desmitificando Apple Pay
  • Carmen Torrano – Investigando sobre los cortafuegos de aplicaciones web
  • Raul Siles – Android: Back to the Future (Too? or Two?)
  • Eduardo Cruz – Ingeniería inversa de circuitos integrados
  • Andrzej Dereszowski – Turla:Development & Operations – the bigger picture
  • Miguel Tarasco – Bend the developers to your will

RootedLabs


RootedLabs es un conjunto de actividades formativas de un día de duración que se realizan durante los tres días previos a RootedCON. Estas acciones están orientadas a la generación de fondos económicos para poder sufragar los gastos que conlleva la difícil labor de organización de una CON como la que deseamos. Con este fin se seleccionan un conjunto de acciones formativas de alto nivel que se encuentran divididas en diferentes áreas de conocimiento. RootedLabs 2015 se celebrarán los días 2, 3 y 4 de Marzo en las aulas MSL Formación.

Este año disponemos de los siguientes RootedLabs:


Bootcamps

Continuando la experiencia de la edición anterior, y adicionalmente a los RootedLabs, este año dispondremos de dos bootcamps, cursos avanzados de más de un día de duración con especialidad concreta en una temática. Este año podréis disfrutar de dos temas diferentes:

Counter Threat Intelligence – Bootcamp ofrece a los profesionales de la seguridad de información acceso a una nueva mentalidad a la hora de tratar la inteligencia y hacer frente a las amenazas emergentes. Esta visión analítica proporciona a los analistas y responders de la capacidad de detectar y defenderse contra las nuevas amenazas en Internet, mientras que todavía están madurando. 

Finalmente el objetivo de Counter Threat Intelligence – Bootcamp es el de proporcionar metodologías prácticas y proactivas que den visibilidad sobre las nuevas amenazas sofisticadas y evasivas.

El curso (en castellano) se celebrará los días 2, 3 y 4 de Marzo de 2015 en el Centro de Congresos Principe Felipe de Hotel Auditorium, y aún pendiente de patrocinio, su precio máximo será de 795€ (675€ en caso de disponer de una entrada pagada para Rooted CON 2015). 

Si te pre-registras y pagas la entrada antes del 20 de Febrero podrás optar a un descuento adicional de 200€.
El Bootcamp de Corelan es una verdadera única oportunidad para aprender tanto técnicas básicas como avanzadas por parte de un desarrollador de exploits experimentado. Durante este curso, los estudiantes conocerán todos los entresijos sobre el desarrollo de exploits fiables para plataformas Win32. El profesor compartirá sus notas y trucos para ser más efectivo desarrollando exploits. 

Creemos que es importante empezar el curso explicando los fundamentos básicos de buffer overflows y desarrollo de exploits, pero no quedará ahí el curso. De hecho, esto es un verdadero Bootcamp y uno de los cursos más avanzados que podrás encontrar sobre el desarrollo de exploits para Win32.Este intensivo curso práctico proporcionará a los estudiantes unos conocimientos sólidos para entender las actuales técnicas de explotación y evasión de protecciones de memoria en Win32. Nos aseguramos de que el material del curso se mantiene actualizado con técnicas actuales, incluyendo trucos previamente no documentados y detalles sobre investigaciones que nosotros mismos hemos llevado a cabo.

El curso (en inglés) se celebrará los días 3 y 4 de Marzo de 2015 en el Centro de Congresos Principe Felipe de Hotel Auditorium, y aún pendiente de patrocinio, su precio máximo será de 995€ (845€ en caso de disponer de una entrada pagada para Rooted CON 2015)

Si te pre-registras y pagas la entrada antes del 20 de Febrero podrás optar a un descuento adicional de 200€.

En este enlace podréis encontrar la descripción detallada de los cursos así como la forma de per-registrarse.

X1RedMasSegura edición RootedCON 2015

Como ya sabéis, uno de los pilares que la organización de Rooted CON ha tenido siempre presente, es el hacer comunidad y en esta edición hemos tenido la oportunidad ir un punto más allá, gracias a X1RedMasSegura, que pondrá a vuestra disposición a todo su elenco, con el fin de ayudarnos, tanto a nosotros, como a nuestras familias (abuelos, padres, hijos), a tener una percepción a niveles menos técnicos, sobre los peligros que nos acechan en la red.


La agenda de charlas tanto para Adultos como para Menores que tendrá lugar durante el sábado 7 de Marzo en una sala del propio Hotel Auditorium es la siguiente:

ADULTOS
Agenda para Adultos X1RedMasSegura en Rooted CON 2015

MENORES
Agenda para Menores X1RedMasSegura en Rooted CON 2015

El formulario de registro para esta iniciativa paralela al congreso lo tenéis en este enlace.

Registro

Todavía estáis a tiempo de conseguir vuestra entrada a un precio de:
  • 110 € para profesionales
  • 50 € para estudiantes
  • 100€ para todos aquellos que opten a descuentos por asociación con ISACA o ISMSForum y por estar certificados por ISC2 o EC-Council.
El enlace para el formulario de registro de asistentes lo encontrarás en la siguiente URL:

https://reg.rootedcon.com

¡No te quedes sin tu entrada!

[+] Rooted CON | @rootedcon
Leer más...

17 febrero 2015

Equation: El APT más sofisticado hasta el momento




Seguro que si has estado atento a twitter y RSS, habrás leído sobre el último bombazo relativo a APTs. Según el análisis realizado por Kaspersky Lab, se trata de un malware de una sofisticación nunca vista, que lleva operando desde - atención- 2001!!

Aprovechando con la celebración del Security Analyst Summit 2015 en Cancún, desde donde me encuentro para dar una charla en la mañana de hoy, el fabricante de seguridad Kaspersky ha querido liberar los detalles de este APT, que ha puesto los pelos de punta a la audiencia. 

Básicamente, y en palabras de Costin Raiu, este malware “le patea el culo a Regin” en cuanto a nivel de sofisticación. 

El punto de entrada era, en aquellas épocas, un CD-ROM con un fichero .LNK que explotaba una vulnerabilidad relacionada con el icono del .LNK, por la que se infectaba el sistema. Posteriormente, hubo más vectores de entrada como un pendrive USB, o contenido web que se insertaba en determinado tipo de foros (creo recordar que dijo PHPBB).

Entre las diferentes 6 piezas de malware que componen Equation, relacionadas con troyanos que permiten control total y remoto sobre la máquina infectada, posibilitando la instalación de nuevos módulos según el atacante necesite. Otra de las piezas de este conjuntos de malware, era la instalación de un boot kit, llamado Gray Fish, que parcheaba todo aquello que necesitaba y borraba sus propias huellas. 

Una de las características que más miedo da, es el grado de persistencia alcanzado por Equation, y es que es capaz de infectar el firmware de discos duros de diferentes fabricantes, para que no sea visible ni modificable los sectores donde Equation se alberga. 

En palabras de Kaspersky, ni siquiera formateando el disco duro es posible dejarlo completamente limpio, puesto que es el propio firmware quien protege que esa parte de disco contra escritura posterior.  

Realmente interesante es el ver que un malware como Equation, descubierto en sistemas mucho más antiguos que otras piezas de malware clasificadas como APT, comparta similitudes con Flame o Stuxnet, como la replicación por redes no conectadas a Internet, o la explotación de la vulnerabilidad que permitía ejecución de código por el .LNK, mencionada anteriormente, y que Microsoft parcheó posteriormente. 

Una de dos: o el malware, una obra maestra de la ingeniería del software, ha sido realizado por el mismo equipo de expertos, o diferentes personas han descubierto y aprovechado el mismo Zero-Day. Lo que está claro es que no es fruto de un grupo de amigos en su casa, sino un proyecto muy bien financiado y organizado.

Según las fuentes, se piensa que el malware podría haber existido desde 1996, por lo que implicaría que desde los principios del boom de la utilización masiva de los ordenadores, ya había intereses en lograr el control de lo que en ese momento, sería el futuro. 

A tenor de estas noticias, sólo nos resta preguntarnos ¿En manos de quién estamos? ¿Podemos realmente hacer algo para mantener a salvo nuestra información más secreta? ¿Están preparados los dispositivos que funcionen con bits para proteger el contenido de lo que pasa a través de ellos?


Si queréis leer más detalles sobre esta joya de la ingeniería, os recomiendo esta review, mucho más extensa en ArsTechnica

Actualización: Podéis ver aquí la información original publicada por Kaspersky  (Gracias @txalin)
Leer más...